Planlegging og oppstart av forskningsprosjekt - Ansatt
Personvern: Starte forskningsprosjekt ved OsloMet
Hvordan starte et forskningsprosjekt som krever at man tar hensyn til personvern? Hvilke avklaringer må gjøres på forhånd, og hvordan gjennomfører man?
Planlegging og oppstart av forskningsprosjekt
-
Hva du må huske på når du skal behandle personopplysninger i forskning i planleggings- og oppstartsfasen
Planleggings- eller oppstartfasen er den delen av forskningsprosjektet som strekker seg fra utarbeidelse av prosjektskisse/søknad frem til at datainnsamlingsprosessen begynner. Bruk denne sjekklisten for å komme i gang:
-
Vurder om det er nødvendig å bruke personopplysninger, se nettside om anonyme-, anonymiserte eller avidentifiserte data, og e-læringen «Trenger du egentlig personopplysninger»? (sikresiden.no).
-
Rolleavklaring – trenger prosjektet vurdering av Personverntjenester (Sikt)?
-
Dokumenter formålet med behandlingen.
-
Forskningstemaet legger føringer for metodikk og etiske retningslinjer. Se forskningsetikk, ansvarsfordeling og retningslinjer på OsloMet. Ved mistanke om uredelighet, benytt eget meldeskjema for formålet.
-
Lag en uttømmende oversikt over de personopplysningene som skal samles inn og analyseres i prosjektet.
-
Skal du ha tilgang til taushetsbelagte opplysninger?
-
Vurder om det er nødvendig å signere en taushetserklæring.
-
Skal du bruke data fra Kunnskapssektorens tjenesteleverandør (Sikt), SSB eller andre registre?
-
Skal du ha tilgang til data fra andre virksomheter i Norge?
-
Husk å sette opp en datahåndteringsplan. Hvordan skal forskningsdata i ditt prosjekt samles, lagres og deles? Dette skal dokumenteres i datahåndteringsplanen.
-
Skaff et gyldig lovlig grunnlag for behandlingen av personopplysningene du skal bruke (normalt "i allmennhetens interesse" eller "samtykke". Når du samler inn personopplysninger har du som regel informasjonsplikt overfør den eller de du samler inn personopplysninger om, se Personverntjenester (Sikt) sin nettside om informasjon til deltakerne (sikt.no). Dersom det lovlige grunnlaget er samtykke:
- se nettside om samtykke,
- se e-læringen «Hvordan får du samtykke?» (sikresiden.no)
- sjekk at informantene/forskningsdeltaker har fått opplyst sine rettigheter i informasjonsskrivet.
-
Vurder om prosjektet skal meldes inn til Personverntjenester (Sikt). Personverntjenester (Sikt) tilbyr OsloMet en personverntjeneste og gjennomgår prosjekter på OsloMets vegne. Send melding til Personverntjenester (Sikt). Se Personverntjenester (Sikt) sin e-læring og lær mer om meldeskjema og hva du må ha klart (app.xtramile.no).
-
Vurder om prosjektet er fremleggspliktig for REK.
-
Skal du overføre personopplysninger til en annen virksomhet som er selvstendig behandlingsansvarlig?
-
Søknader til REK med all korrespondanse, lovlig grunnlag, avtaler som regulerer personvern, risikovurdering med mer skal arkiveres i P360. Du bør arkivere fortløpende etter hvert som du produserer dokumenter som skal arkiveres.
Se også nettside med flere sjekkpunkter i Sjekkliste for behandling av personopplysninger i forskning.
-
-
Planlegge lagring
Slå opp i klassifiseringsguiden og avgjør om dine data skal kategoriseres som åpen (grønn), begrenset (gul) eller fortrolig (rød). Merk at røde data omtales som sensitive personopplysninger og har strenge krav til beskyttelse.
Når du har avklart informasjonsklassen for dine data må du sjekke OsloMets retningslinjer for hva slags type utstyr du kan jobbe på med disse dataene. Dette finner du i lagringsguiden til OsloMet. Se også Lagring av forskningsdata
Lagringsguiden gjelder når du jobber med data som ikke eies av deg, men som eies av OsloMet eller som OsloMet er ansvarlig for. Eksempler på slike data kan være arbeid med forskningsprosjekter som behandler personopplysninger.
Har du behov for å samle inn og lagre forskningsdata fysisk, sjekk ut nettsiden om Fysisk lagring og behandling av forskningsdata.
Hvis det er noe du lurer på eller har problemer med når det gjelder type personopplysninger og hvilke elektroniske løsninger som er sikre nok, ta så tidlig som mulig kontakt med personvernkontakt FoU på ditt fakultet/senter.
Hvis du trenger ytterligere bistand for å få svart ut dine spørsmål, kontakt FoU-IT ved å rette en henvendelse til itservicedesk@oslomet.no. Merk henvendelsen med hva det gjelder, eksempelvis:
-
Spørsmål til FOU-IT rundt klassifisering…
-
Ønsker vurdering av FOU-IT av prosjekt…
-
Spørsmål til gjennomføring av FOU-prosjekt….
-
-
Skal du ta i bruk en ny applikasjon eller et IT-system?
Har du behov for å ta i bruk eller anskaffe ny applikasjon, programvare, nytt teknisk utstyr eller et IT-system? Husk å klargjøre behovet, samt forhold rundt bruk og forvaltning før du går videre.
-
Risikovurdering/personvernkonsekvensvurdering (DPIA)
-
Har du husket å gjøre en risikovurdering av forskningsprosjektet ditt?
-
Har du sørget for at prosjektmedarbeidere har tilfredsstillende kompetanse i sikker håndtering av forskningsdata (personopplysninger) og at de har signert taushetserklæring?
-
Skal det gjøres en personvernkonsekvensvurdering (DPIA)? Det skal gjøres i enkelte prosjekter. Personverntjenester (Sikt) hjelper deg med gjennomføringen. Personvernombudet skal vurdere forslag til DPIA og instituttleder/instituttdirektør/senterleder/dekan skal godkjenner DPIA-en.
-
Se e-læring om «Ta hensyn – gjør en DPIA» (sikresiden.no).
-
-
Personvernkontakt
Ta kontakt med personvernkontakt FoU for din enhet, fakultet/senter for bistand ved behov.