Personvern i forskningsprosjekter ved OsloMet

Planlegging og oppstart av forskningsprosjekt

1. Hva du må huske på når du skal behandle personopplysninger i forskning i planleggings- og oppstartsfasen

   Planleggings- eller oppstartfasen er den delen av forskningsprosjektet som strekker seg fra utarbeidelse av prosjektskisse/søknad frem til at datainnsamlingsprosessen begynner. Bruk denne sjekklisten for å komme i gang:

   • Vurder om det er nødvendig å bruke personopplysninger, se nettside om anonyme-, anonymiserte eller avidentifiserte data, og e-læringen «Trenger du egentlig personopplysninger»? (sikresiden.no). Hvis du behandler fullt ut anonyme opplysninger i ditt prosjekt, trenger du ikke å melde prosjektet til Sikt. Dette gjelder ikke dersom du anonymiserer opplysningene underveis eller i slutten av prosjektet, da behandler du personopplysninger og prosjektet skal meldes til Sikt.

   • Når du skal behandle personopplysninger i et forskningsprosjekt må du ha et lovlig grunnlag. Dette kan for eksempel være et samtykke fra deltakerne eller at forskningen er i allmennhetens interesse. 

   • Deltakerne i forskningsprosjektet har alltid rett på informasjon om hvordan deres personopplysninger blir behandlet i et forskningsprosjekt og hva slags rettigheter de har. Utform et informasjonsskriv som skal hjelpe deltakerne til å forstå hva slags opplysninger som skal samles inn og hva det innebærer for dem. Finn mer informasjon om dette på Sikt sin nettside om informasjon til deltakerne (sikt.no).

   • Forskningstemaet legger føringer for metodikk og etiske retningslinjer. Se forskningsetikk, ansvarsfordeling og retningslinjer på OsloMet. 

   • Skal du ha tilgang til taushetsbelagte opplysninger?

   • Vurder om prosjektet er fremleggspliktig for REK. Søknader til REK med all korrespondanse skal arkiveres i P360. 

   • Vurder om det er nødvendig å signere en taushetserklæring.

   • Skal du bruke data fra Sikt, SSB eller andre registre?

   • Skal du ha tilgang til data fra andre virksomheter i Norge?

   • Dersom du skal dele personopplysninger med andre personer, institusjoner, organisasjoner eller virksomheter utenfor OsloMet, må du avklare om du har lov til å dele personopplysningene.

   • Skal du overføre personopplysninger til utlandet?

   • Lag en datahåndteringsplan som forteller om hvordan forskningsdataene skal samles, lagres og deles.

2. Planlegge lagring

   Slå opp i klassifiseringsguiden og avgjør om dine data skal kategoriseres som åpen (grønn), begrenset (gul) eller fortrolig (rød). Merk at røde data omtales som sensitive personopplysninger og har strenge krav til beskyttelse. Når du har avklart informasjonsklassen for dine data må du sjekke OsloMets retningslinjer for hva slags type utstyr du kan jobbe på med disse dataene. Dette finner du i lagringsguiden til OsloMet. Se også Lagring av forskningsdata

   Lagringsguiden gjelder når du jobber med data som ikke eies av deg, men som eies av OsloMet eller som OsloMet er ansvarlig for. Eksempler på slike data kan være arbeid med forskningsprosjekter som behandler personopplysninger.

   Har du behov for å samle inn og lagre forskningsdata fysisk, sjekk ut nettsiden om Fysisk lagring og behandling av forskningsdata.

   Dataene skal ikke lagres lenger enn det som er nødvendig for å oppnå formålene som personopplysningene behandles for. Når forskningsprosjektet er avsluttet, skal dataene enten bli  slettet eller anonymisert. I noen tilfeller kan det være ønskelig/foreligge krav om at dataene lagres lengre enn til avsluttet prosjektperiode. De kan da overføres til et arkiv for videre lagring. Sikt kan gi anbefaling om håndtering av data ved prosjektslutt. Les mer om langtidslagring.

   Hvis det er noe du lurer på eller har problemer med når det gjelder type personopplysninger og hvilke elektroniske løsninger som er sikre nok, ta så tidlig som mulig kontakt med personvernkontakt FoU på ditt fakultet/senter.

   Hvis du trenger ytterligere bistand for å få svart ut dine spørsmål, kontakt FoU-IT ved å rette en henvendelse til itservicedesk@oslomet.no. Merk henvendelsen med hva det gjelder, eksempelvis:

   • Spørsmål til FOU-IT rundt klassifisering…

   • Ønsker vurdering av FOU-IT av prosjekt…

   • Spørsmål til gjennomføring av FOU-prosjekt….

3. Skal du ta i bruk en ny applikasjon eller et IT-system?

   Har du behov for å ta i bruk eller anskaffe ny applikasjon, programvare, nytt teknisk utstyr eller et IT-system? Husk å klargjøre behovet, samt forhold rundt bruk og forvaltning før du går videre.

4. Risikovurdering/personvernkonsekvensvurdering (DPIA)

   • Trenger du å gjøre en risikovurdering av forskningsprosjektet ditt?

   • Skal det gjøres en personvernkonsekvensvurdering (DPIA)? For prosjekter som medfører en viss ulempe for personvernet skal det gjøres en såkalt DPIA. Sikt hjelper deg med gjennomføringen. Personvernombudet skal vurdere forslag til DPIA og instituttleder/instituttdirektør/senterleder/dekan skal godkjenner DPIA-en.

   • Se e-læring om «Ta hensyn – gjør en DPIA» (sikresiden.no).

5. Ansvar

   Hvert forsknings- og studentprosjekt som behandler personopplysninger skal ha en forsker/veileder som har rollen som prosjektleder. Prosjektleder er ansvarlig for at prosjektet oppfyller kravene i personvernregelverket.

   Prosjektleder har et selvstendig ansvar for personvernet i forsknings- og studentprosjekter. Ph.d.-studenter kan regnes som prosjektledere for sine ph.d.-prosjekter. Dette må du sjekke opp med ditt fakultet.

   Studentveiledere har alltid ansvar for personvernet i studentforskning på bachelor- og masternivå. Studenter har likevel et selvstendig ansvar for at personvernet er ivaretatt.

   Se også forskningsansvarliges rolle og oppgaver.

6. Personvernkontakt

   Ta kontakt med personvernkontakt for din enhet ved behov for bistand.