Personvern: Starte forskningsprosjekt ved OsloMet

Planlegging og oppstart av forskningsprosjekt

1. Sjekkliste for behandling av personopplysninger i forskning

   Planleggings- eller oppstartfasen er den delen av forskningsprosjektet som strekker seg fra utarbeidelse av prosjektskisse/søknad frem til at datainnsamlingsprosessen begynner. Bruk denne sjekklisten for å komme i gang:

   • Vurder om det er nødvendig å bruke personopplysninger, se nettside om anonyme-, anonymiserte eller avidentifiserte data, og e-læringen «Trenger du egentlig personopplysninger»? (nanolearning.com).

   • Rolleavklaring – trenger prosjektet vurdering av NSD?

   • Dokumenter formålet med behandlingen.

   • Forskningstemaet legger føringer for metodikk og etiske retningslinjer. Se forskningsetikk, ansvarsfordeling og retningslinjer på OsloMet.

   • Lag en uttømmende oversikt over de personopplysningene som skal samles inn og analyseres i prosjektet.

   • Skal du ha tilgang til taushetsbelagte opplysninger?

   • Vurder om det er nødvendig å signere en taushetserklæring.

   • Skal du bruke data fra NSD, SSB eller andre registre?

   • Skal du ha tilgang til data fra andre virksomheter i Norge?

   • Husk å sette opp en datahåndteringsplan. Hvordan skal forskningsdata i ditt prosjekt samles, lagres og deles? Dette skal dokumenteres i datahåndteringsplanen.

   • Skaff et gyldig lovlig grunnlag for behandlingen av personopplysningene du skal bruke. Dersom det lovlige grunnlaget er samtykke:

     • se nettside om samtykke, 
     • se e-læringen «Hvordan får du samtykke?» (nanolearning.com)
     • sjekk at informantene/forskningsdeltaker har fått opplyst sine rettigheter i informasjonsskrivet.

   • Vurder om prosjektet skal meldes inn til NSD. NSD tilbyr OsloMet en personverntjeneste, og gjennomgår prosjekter på OsloMets vegne. Sende melding til NSD.

   • Vurder om prosjektet er fremleggspliktig for REK.

   • Registrer prosjektet i OsloMet sin Forskningsdatabase.

   • Skal du overføre personopplysninger til en annen virksomhet som er selvstendig behandlingsansvarlig?

   • Skal du overføre personopplysninger til utlandet?

   • Søknader til REK med all korrespondanse, avtaler som regulerer personvern, risikovurdering m.m. skal arkiveres i P360. Du bør arkivere fortløpende etter hvert som du produserer dokumenter som skal arkiveres.

   Se også sjekkliste for behandling av personopplysninger i forskning.

2. Planlegge lagring

   Slå opp i klassifiseringsguiden og avgjør om dine data skal kategoriseres som åpen (grønn), begrenset (gul) eller fortrolig (rød). Merk at røde data omtales som sensitive personopplysninger og har strenge krav til beskyttelse.

   Når du har avklart informasjonsklassen for dine data må du sjekke OsloMets retningslinjer for hva slags type utstyr du kan jobbe på med disse dataene. Dette finner du i lagringsguiden til OsloMet. Se også Lagring av forskningsdata

   Lagringsguiden gjelder når du jobber med data som ikke eies av deg, men som eies av OsloMet eller som OsloMet er ansvarlig for. Eksempler på slike data kan være arbeid med forskningsprosjekter som behandler personopplysninger.

   Har du behov for å samle inn og lagre forskningsdata fysisk, sjekk ut nettsiden om Fysisk lagring og behandling av forskningsdata.

   Hvis det er noe du lurer på eller har problemer med når det gjelder type personopplysninger og hvilke elektroniske løsninger som er sikre nok, ta så tidlig som mulig kontakt med personvernkontakt på ditt fakultet/senter.

   Hvis du trenger ytterligere bistand for å få svart ut dine spørsmål, kontakt FoU-IT ved å rette en henvendelse til itservicedesk@oslomet.no. Merk henvendelsen med hva det gjelder, eksempelvis:

   • Spørsmål til FOU-IT rundt klassifisering…

   • Ønsker vurdering av FOU-IT av prosjekt…

   • Spørsmål til gjennomføring av FOU-prosjekt….

3. Skal du ta i bruk en ny applikasjon eller et IT-system?

   Har du behov for å ta i bruk eller anskaffe ny applikasjon, programvare, nytt teknisk utstyr eller et IT-system? Husk å klargjøre behovet, samt forhold rundt bruk og forvaltning før du går videre.

4. Risikovurdering/personvernkonsekvensvurdering (DPIA)

   • Har du husket å gjøre en risikovurdering av forskningsprosjektet ditt?

   • Har du sørget for at prosjektmedarbeidere har tilfredsstillende kompetanse i sikker håndtering av forskningsdata (personopplysninger) og at de har signert taushetserklæring?

   • Skal det gjøres en personvernkonsekvensvurdering (DPIA)? Det skal gjøres i enkelte prosjekter. NSD hjelper deg med gjennomføringen. Personvernombudet skal vurdere forslag til DPIA og instituttleder/instituttdirektør/senterleder/dekan skal godkjenner DPIA-en.

   • Se e-læring om «Ta hensyn – gjør en DPIA» (nanolearning.com).

5. Personvernkontakt

   Contact the R&D privacy contact for your unit, faculty/centre for assistance if necessary.