Droppe til innhold

I forskning

I forskning

Avtaler, etikk og jus

Personvern i forskning

Før du som prosjektleder setter i gang med et forskningsprosjekt må du vite om data skal anonymiseres eller avidentifiseres og hvilke eksterne instanser som skal godkjenne bruk av ulike typer personopplysninger.

Vanligvis er det De regionale komiteer for medisinsk og helsefaglig forskningsetikk (REK) og Norsk senter for forskningsdata (NSD) som gir deg tillatelse til å igangsette et forskningsprosjekt.

Anonymiserte eller avidentifiserte data

Det første spørsmålet som er viktig å stille er om du skal bruke anonymiserte data eller om dataene bare blir avidentifiserte. Så lenge opplysninger og vurderinger på noe vis kan knyttes til enkeltpersoner anses de å være personopplysninger.

Anonymiserte data

Anonymiserte data er opplysninger som ikke på noe vis kan identifisere enkeltpersoner i et datamateriale, verken direkte gjennom navn, personnummer eller andre personentydige kjennetegn, indirekte gjennom bakgrunnsvariabler som for eksempel kjønn, alder, bosted, diagnose og yrke, gjennom navneliste/koblingsnøkkel, krypteringsformel og kode eller IP-adresse.

Du må være oppmerksom på at:

  • Opplysningene i seg selv kan være nok til å identifisere den enkelte deltaker. Personopplysningene vil i så fall ikke anses å være tilstrekkelig anonymiserte. Det skal være en konkret vurdering i hvert enkelt tilfelle. En tommelfingerregel er at opplysningene ikke kan knyttes til en gruppe på 5 eller færre personer.
  • En sammenstilling av ulike databaser kan av-anonymisere personopplysninger på en slik måte at forskningsdeltakere blir identifiserte.
  • Du må ta hensyn til at den tekniske utviklingen fremover kan identifisere opplysninger som tidligere ble ansett å være anonyme; f.eks forvrenging av stemme på lydopptak.

 

Dersom dataene er totalt anonymiserte, gjelder ikke personvernlovgivningen og du trenger ikke søke om godkjenning fra en ekstern instans.

Nettskjema (uio.no) kan brukes ved anonyme undersøkelser. Sjekk nettside om tiltak for å sikre anonymitet og nettside om elektroniske spor.

På NSD sine nettsider kan du lese om hvordan du kan gjennomføre prosjekter uten å registrere personopplysninger.

Avidentifiserte data

Avidentifiserte data er personopplysninger der navn, fødselsnummer og andre direkte personentydige kjennetegn er fjernet og erstattet av en koblingsnøkkel/lister med koder, slik at opplysningene ikke umiddelbart kan knyttes til en enkelt person. Imidlertid vil bruk av koblingsnøkkel gjøre det mulig å avdekke forskningsdeltaker sin identitet. Det er derfor viktig at koblingsnøkler/lister med koder oppbevares adskilt fra personopplysningene, nedlåst eller sikret på annen forsvarlig måte.

Siden det er mulig å avdekke forskningsdeltakers identitet gjelder personvernlovgivningen og du må søke om godkjenning fra en ekstern instans.

Informasjon og brosjyrer på NSD sin nettside.

Nærmere beskrivelse om forskjellen mellom anonymiserte og avidentifiserte data kan du finne på nettsiden til OUS og Datatilsynet.

Tvilstilfeller

Det kan være tvilstilfeller der det er usikkert om forskningsdata er tilstrekkelig anonymisert eller ikke, for eksempel ved små utvalg; eksempelvis forskning på en diagnose som få i landet har eller et forskningsprosjekt med få forskningsdeltakere innenfor et avgrenset geografisk område. Ved tvilstilfeller bør du sjekke med personvernombudet (NSD). NSD har i tillegg en uformell meldeplikttest som du kan prøve.

Godkjenningsinstans for ditt forskningsprosjekt

Formål avgjør hvor du må søke tillatelse

Dersom du i ditt forskningsprosjekt skal behandle data elektronisk (eller manuell systematisering av sensitive personopplysninger) som ikke er tilstrekkelig anonymisert, må du vurdere hvilke eksterne instanser du må søke tillatelse fra. Formålet med forskningen og hva slags type data som benyttes i forskningsprosjektet er avgjørende for ditt valg.

Formål 1 - Du skal bare melde prosjektet ditt til NSD når:

Forskning som har andre formål enn å fremhente ny kunnskap om sykdom og helse kan berøres både av personopplysningsloven og helseregisterloven.

  • Samfunnsvitenskapelige formål.
  • Kvalitetssikring, definert som prosjekter, undersøkelser, evalueringer og lignende som har som formål å kontrollere at diagnostikk og behandling faktisk gir de tilsiktede resultater.
  • Opprettelse av helseregistre, definert som registre, fortegnelser, m.v. der helseopplysninger er lagret systematisk (listet opp) slik at opplysninger om den enkelte kan finnes igjen, jf. helseregisterloven § 2 nr. 6. Helseregistre kan være papirbaserte eller elektroniske. For eksempel benyttes registre som journalsystemer i helsetjenesten eller opprettes for forskningsformål, se helseforskningsloven § 2 (2).
  • Innsamling av helseopplysninger med annet formål enn å skaffe til veie ny kunnskap om helse og sykdom, se helseforskningsloven §§ 2 (1) og 4 d).
  • Se eksempler på virksomhet som ikke skal forsvarlighetsvurderes av REK på REK sin nettside.

Innsamling av helseopplysninger med det formål å skaffe til veie ny kunnskap om helse og sykdom skal meldes til NSD etter at REK har gjort en forsvarlighetsvurdering.

Mer informasjon om hvordan du melder forskningsprosjektet til NSD

 
       
       
       
       
       
       
       

Formål 2 - Prosjektet er også fremleggspliktig for REK når:

  • ”Forskningsvirksomhet som utføres med vitenskapelig metodikk for å skaffe til veie ny kunnskap om helse og sykdom», se helseforskningsloven § 4 a).
  • Opprettelse av helseregistre som er et ledd i et konkret medisinsk- og helsefaglig forskningsprosjekt.
  • Se eksempler på virksomhet er fremleggspliktig for REK på REK sin nettside.

Mer informasjon om hvordan du sender søknad til REK.

Godkjenning/forsvarlighetsvurdering
Type prosjekt Myndighet Lovverk Rådgivende instans
Medisinsk og helsefaglig forskning REK Helseforskningsloven § 2 (1) REK
Forskning på mennesker REK Helseforskningsloven § 2 (1) REK
Naturmidler eller andre stoffer inntas av mennesker REK, Statens legemiddelverk Helseforskningsloven § 2 (3) og legemiddelloven l § 3
med forskrifter
Statens legemiddelverk
Forskning hvor medisinsk utstyr brukes på mennesker REK, Helsedirektoratet Helseforskningsloven § 2 (3) og lov om
medisinsk utstyr med forskrifter
Helsedirektoratet
Forskning på humant biologisk materiale REK Helseforskningsloven §§ 2 (1) og 4 b) REK
Forskning som innebærer innsamling av helseopplysninger REK Helseforskningsloven §§ 2 (1) og 4 d),
samt helsepersonelloven § 21
REK

Les mer om personvern

GDPR - ny lovgivning om personopplysninger - hva betyr det for forskning

De nasjonale forskningsetiske komiteene har laget en egen nettside med spørsmål og svar når det gjelder ny lovgivning om personopplysniger (GDPR) og hva det betyr for forskning.

Rutine

Rutine vedrørende meldeplikt til NSD finnes også i nettgruppa for FoU-rådgivere på fakultet/senter.

Kontakt