Skaffe tilgang til data fra andre virksomheter i Norge - Ansatt

Tilgang til data fra andre virksomheter i Norge

Tilgang til data fra andre virksomheter i Norge

Her finner du informasjon om hva du bør tenke på når du ønsker tilgang eller overført data fra andre virksomheter i Norge.
Publisert
Sist oppdatert

  • Sjekke godkjenninger og sørge for tillatelse før tilgang til eller utlevering av data

    Det kreves godkjenning/vurdering

    Skal du bruke data fra andre virksomheter/institusjoner og det kreves en godkjenning/vurdering av behandlingen, for eksempel fra et helseforetak, sjekk med personvernombudet. Virksomheten/institusjonen sin godkjennelse/vurdering av behandlingen av dataene skal også omfatte den behandlingen du har tenkt å foreta.

    Du skal selv innhente data hos en annen virksomhet/institusjon

    Ønsker du som prosjektleder å «låne» data av eller å bruke informanter knyttet til en institusjon, bør du sende et informasjonsskriv til behandlingsansvarlig (ledelse i institusjonen) som sier hva dataene skal brukes til. Du bør også få tillatelse til behandlingen.

    Se Personverntjenester (Sikt) (nsd.no) sine nettsider. Her finner du oppdaterte og kvalitetssikrede oversikter over fremgangsmåte for datainnhenting for ulike områder som barnehage, skole, internett, arbeidsplass, fengsler, via nettskjema, observasjon og sårbare grupper.

  • Databehandleravtale, overføringsavtale eller avtale om felles behandlingsansvar

    Det er normalt nødvendig å etablere avtale med den virksomheten som gir deg tilgang/utleverer dataene, som for eksempel en kommune, et helseforetak eller en forskningsinstitusjon.

    FoU-begreper til bruk i kontrakter er markert med tykk skrift og definert i liste med definisjoner og forkortelser.

    Den virksomheten som «låner ut» forskningsdata med personopplysninger som du er interessert i å bruke i ditt forskningsprosjekt, er behandlingsansvarlig for disse personopplysningene.

    • Hvis du som prosjektleder ved OsloMet skal utføre en behandling på vegne av virksomheten, er virksomheten behandlingsansvarlig og bestemmer formålet med behandlingen av personopplysningene og hvilke hjelpemidler som skal brukes. Det skal da signeres en databehandleravtale.
    • Hvis du som prosjektleder ved OsloMet har et eget formål med behandlingen av personopplysningene og virksomheten ikke er med og bestemmer i sammen med deg ditt formål og dine metoder/hjelpemidler, bør det signeres en overføringsavtale.
    • Hvis både du som prosjektleder ved OsloMet og virksomheten, du skal få utlevert personopplysninger fra, sammen bestemmer formål og metode/hvilke hjelpemidler som skal brukes, skal det settes opp en ordning om felles behandlingsansvar. Det er her mest praktisk med en avtale om felles behandlingsansvar.

    Vedkommende som har den daglige ledelsen av virksomheten som den behandlingsansvarlige driver, skal kunne ivareta behandlingsansvaret etter personvernregelverket og ha myndighet til å ta avgjørelser.

    Forutsetningen for «å låne ut» personopplysninger til deg som prosjektleder er at virksomheten du tilhører har et tilfredsstillende informasjonssikkerhetssystem. OsloMet bruker forskningsplattformen TSD, som oppfyller lovens strenge krav til behandling og lagring av sensitive forskningsdata.

  • Tjeneste for sensitive data (TSD 2.0)

    Forutsetningen for «å låne ut» personopplysninger til deg som prosjektleder er at virksomheten du tilhører har et tilfredsstillende informasjonssikkerhetssystem. OsloMet bruker forskningsplattformen TSD, som oppfyller lovens strenge krav til behandling og lagring av sensitive forskningsdata.

    Tjenester for sensitive data (TSD 2.0) utarbeidet i regi av UiO brukes av flere norske offentlige forskningsinstitusjoner, inkludert OsloMet. 

    TSD utvikles og driftes av USIT ved UiO, og inngår i NorStore, den nasjonale infrastrukturen for håndtering og lagring av vitenskapelige data.

    Ved beskrivelse av hvordan du har tenkt å håndtere/lagre personopplysningene, kan du henvise virksomheten (behandlingsansvarlig) til TSD for å vise at håndteringen/lagringen er sikker nok, se nettside om TSD hvordan du skal gå fram for å få tilgang.

  • Utforming av databehandleravtale

    Det normale er at den som er behandlingsansvarlig, for eksempel en kommune, utarbeider databehandleravtalen. Ansvarlig for avtalen er instansen som «låner ut»/gir tilgang på/utleverer data. Du som databehandler kan ikke behandle forskningsdataen på en annen måte enn det som er avtalt i databehandleravtalen.

    I avtalen skal ansvars- og myndighetsforhold beskrives. Det vil ofte også stå noe om formål, utlevering til tredjemenn og sletting.

  • Ressurser