Personvern i forskningsprosjekter ved OsloMet

Personvern i forskningsprosjekter ved OsloMet

Hvordan starte et forskningsprosjekt som krever at man tar hensyn til personvern? Hvilke avklaringer må gjøres på forhånd, og hvordan gjennomfører man?

Rolleavklaring og vurdering av Personverntjenester (Sikt)

Rolleavklaring og vurdering av Personverntjenester (Sikt)

  1. Hva er Personverntjenester (Sikt) og når skal et forskningsprosjekt vurderes av Sikt?

    Kunnskapssektorens tjenesteleverandør (Sikt) leverer personverntjenester til 130 norske forsknings- og utdanningsinstitusjoner: Alle universitetene, de fleste høyskolene og flere forskningsinstitutt, helseforetak og kompetansesentre. Formålet er å dokumentere alle behandlinger av personopplysninger som skjer ved OsloMet og sørge for at forskningen får lovlig tilgang til data med personopplysninger. 

    Når Sikt vurderer prosjekter hjelper de forskere og studenter med å finne løsninger som passer til deres prosjekt, og med å sikre at behandlingen som de har planlagt er i tråd med regelverket.

    Som student eller forsker skal du melde prosjektet ditt til Sikt hvis du skal behandle personopplysninger i forbindelse med et student- eller forskningsprosjekt. Sikt har utarbeidet et skjema som skal benyttes ved melding av forsknings- og studentprosjekter. Det er viktig at alle prosjekter som behandler personopplysninger meldes inn, og at du oppgir så mange detaljer som mulig om ditt prosjekt. Meldeskjemaet er lagt ut på Personverntjenester (Sikt) sin hjemmeside (sikt.no). Her finner du også nyttig veiledning og svar på ofte stilte spørsmål. Meldeskjemaet skal fylles ut av den som skal gjennomføre prosjektet.

    OsloMet må anses som en behandlingsansvarlig.

  2. Saksbehandling hos Personverntjenester (Sikt)

    Når du melder ditt prosjekt til Personverntjenester (Sikt), vil de foreta en vurdering av prosjektets personvernkonsekvenser. Dersom prosjektet ikke ansees som personvernmessig risikofylt, vil Sikt gi deg tilbakemelding på at du kan starte prosjektet og datainnsamlingen. Dersom prosjektet antas å ville innebære høy risiko for de registrertes personvern, vil Sikt foreta en inngående personvernkonsekvensvurdering der risikoer og tiltak for å minske risikoene blir kartlagt. Dette kalles også en DPIA.

    Sikts endelige vurdering blir så oversendt til personvernombudet for kommentarer og vurdering.  Deretter sendes DPIA-en med personvernombudets vurdering  tilbake til Sikt med signert godkjenningsbrev. Behandlingsansvarlig i linjen, normalt instituttleder eller instituttdirektør, godkjenner Sikts vurdering overordnet ved signering av godkjenningsbrev. Du er hele tiden orientert om saksprosessen. Kommunikasjon i forbindelse med prosjektet skal fortrinnsvis foregå mellom deg og Sikt.

    Når et student- eller forskningsprosjekt godkjennes av Sikt, vil det registreres i Sikts meldearkiv. Meldearkivet oppdateres fortløpende, og inneholder all informasjon om ditt prosjekt.

  3. Når foreligger et behandlingsansvar?

    Hvis forskningsprosjekt foregår ved OsloMet og forsker ved OsloMet samler inn data, f.eks. ved bruk av lydbåndopptak, er OsloMet behandlingsansvarlig eller felles behandlingsansvarlig.

    Her samler forsker inn personopplysninger med "OsloMet-hatten" på. Forsker bestemmer formålet (hva personopplysningene skal brukes til) og metode (hvilke metode/middel som skal brukes ved innsamling).

    Her skal prosjektet vurderes av Personverntjenester (Sikt) og eventuelt til Regionale komiteer for medisinsk og helsefaglig forskningsetikk (REK). Samler forsker inn personopplysninger hos en ekstern/annen institusjon må forsker ha tillatelse fra denne institusjonen til å kontakte informanter/forskningsdeltakere fra dem. 

  4. Når foreligger et felles behandlingsansvar? 

    Felles behandlingsansvar, med tilhørende avtale, kan være aktuelt der både OsloMet og ekstern/annen institusjon bestemmer formål og metode/middel.

  5. Når skal det inngås en databehandleravtale?

    Hvis forsker skal ta lydopptak og deretter analysere og lagre dataene på PC/server ved ekstern institusjon, f.eks. OUS, må det inngås en databehandleravtale mellom OsloMet og denne institusjonen.

    OsloMet vil da være behandlingsansvarlig og institusjonen, f.eks. OUS, vil være databehandler (institusjonen har ikke et eget formål med personopplysningene, men behandler dem siden det skjer i deres systemer) på vegne av behandlingsansvarlig OsloMet.

    Databehandleravtale er aktuelt selv om data ikke fysisk overføres til OsloMet. Det er tilstrekkelig at en med "OsloMet-hatt" har tilgang til personopplysningene.

  6. Når skal prosjektet ikke vurderes av Personverntjenester (Sikt)?

    • Prosjektet skal ikke behandle personopplysninger.

    • Prosjektet er et delprosjekt som inngår i et større prosjekt (hovedprosjekt som bestemmer formål og metode) ved en ekstern/annen institusjon (forutsetter en overføring av personopplysninger til OsloMet sine elektroniske løsninger).

    Dersom prosjektet ditt er et delprosjekt som inngår i et større prosjekt må du

    • sørge for at det inngås en databehandleravtale mellom OsloMet og ekstern/annen institusjon, da OsloMet vil behandle personopplysninger på vegne av den eksterne/andre institusjonen og

    • sjekke at den eksterne institusjonen har sendt endringsmelding til Personverntjenester (Sikt) eller sitt personvernombud og fått din behandling av personopplysningene vurdert som ok. E-post kan være tilstrekkelig, dersom virksomheten er norsk. Er du i tvil om hva som er tilstrekkelig dokumentasjon i prosjektet, ta kontakt med en personvernrådgiver FoU ved ditt fakultet/senter.