Droppe til innhold

I forskning

I forskning

Veileder forskningsprosjekt / Avslutte prosjekt

Rutine vedrørende meldeplikt til NSD

Dette er en rutine som skal hjelpe instituttleder å ivareta sitt forskningsansvar vedrørende meldepliktige student- og forskningsprosjekter på sitt institutt.

Instituttleders ansvar

Det henvises generelt til dokument vedrørende forskningsansvarliges rolle og oppgaver.

Tilgang til NSD sitt meldingsarkiv

NSD har et meldingsarkiv over forskningsprosjekter meldt NSD. Her arkiveres dokumenter som inneholder detaljert informasjon om de enkelte prosjektene. De fleste dokumenter knyttet til prosjektet trenger derfor ikke å arkiveres i Public 360. Dokumenter som databehandleravtaler, avtaler om felles behandlingsansvar og risikovurderinger skal arkiveres i Public 360. Også andre dokumenter kan være aktuelle å arkivere i Public 360  grunnet behov for dokumentasjon, se også nettside om Dokument og prosjektarkiv.

Arkivet hos NSD er adgangsregulert. Dekan, instituttleder eller FoU-rådgiver sin nærmeste leder sender e-post til kontaktperson for NSD ved OsloMet med ønske om tilgang, personvernombud@oslomet.no.

Instituttleder og FoU-rådgiver (samt FoU-rådgivers nærmeste leder) bør ha tilgang til meldingsarkivet.

Nærmere om hva meldingsarkivet inneholder

  • Navn på forsker/student, tittel, formål, utvalg, type opplysninger, metode, lagringsløsninger, eventuelle samarbeidspartnere, prosjektperiode, status m.m.
  • Det lovlige behandlingsgrunnlaget, søknader og tillatelser.
  • Korrespondanse mellom forsker/institusjon og NSD.
  • Prosjektoversikt med søkefunksjon, slik at man lett kan finne lister over prosjekter man ønsker å følge opp.
  • Statistikkside med blant annet oversikt over antall meldinger/år. Det kan gi en indikasjon på om meldeplikten overholdes.
  • Postkasse som viser prosjekter med avviksmeldinger (meldingsarkiv før 20. juli 2018).
  • Brukeroversikten viser hvilke ansatte som har tilgang til Meldingsarkivet (meldingsarkiv før 20. juli 2018).
  • Faktureringssiden viser hvilke prosjekter NSD tar betalt for (meldingsarkiv før 20. juli 2018).
  • På informasjonssiden "Om Meldingsarkivet" får du nyttige råd om internkontroll og bruk av Meldingsarkivet.

Konkret i forhold til NSD:

  • Sørge for/sjekke at nytilsatte får informasjon om/kjenner retningslinjer og vise hvor informasjonen finnes. Dette er personalleders ansvar og kan ligge i en "pakke" nytilsatte mottar.
  • Hvis mulig, ha oversikt over prosjektportefølje ved instituttet, herunder om prosjekter er meldepliktig (er alle meldepliktige prosjekter meldt NSD?). Viser blant annet til NSD sin meldeplikttest
  • Alle prosjektene skal være forankret ved instituttet.
  • Sjekke at alle prosjekter har nødvendige tillatelser og at krav i tillatelsene følges opp. Prioriter prosjekter som behandler sensitive personopplysninger.
  • Sjekke at forskere/studenter som skal slutte rydder opp i aktive prosjekter.
  • Sørge for at avvik meldes til ledelsen og følges opp. Dette gjelder både avvik man får melding om og de man oppdager ved sjekk av meldingsarkivet. I meldingsarkiv før 20. juli 2018, se knappen "Postkasse" der prosjekter med manglende tilbakemelding til NSD er registrert. Disse sakene skal følges opp og det skal gis melding til NSD. I meldingsarkiv etter 20. juli 2018, se knappen "Ingen vurdering" hvor prosjekter har blitt lukket. Enkelte av disse sakene bør følges opp.
  • Sørge for at det finnes rutiner som sikrer at også meldepliktige studentprosjekter blir meldt. Samarbeid med STU.

Hjelpemidler:

  • Alternative måter å fange opp hvilke forskere som behandler personopplysninger:
  1. Legge inn spørsmål om dette i FoU-tid søknadsskjema ved fakultetet, se eksempler på spørsmål. Ved å svare JA på et eller flere spørsmål kan forskeren følges opp med veiledning.
  2. Ta opp forholdet i medarbeidersamtale mellom studieleder og forsker.
  3. Se på regnskapslister.
  4. Sjekke om prosjekter registrert i Cristin, stemmer overens med prosjekter i meldingsarkivet til NSD.
  5. Sjekke med forskergruppeledere.
  6. Stille spørsmål ved en forsker med mye FoU-tid, men med få prosjekter i meldingsarkivet til NSD.
  7. Sjekke en eventuell databehandleravtale.
  8. Implementere punkt om behandling av personopplysninger i veilederavtalene.
  • Informasjon om personvern i forskning i Veileder forskningsprosjekt på OsloMet sin nettside.
  • Henvise videre til FoU-administrasjonen sentralt og/eller forskningsgruppeledere for veiledning

Hvordan:

Det er opp til instituttleder hvordan disse oppgavene utøves, herunder hvordan og når det informeres.

Innsending av melding til NSD

Hvem utfører oppgaven? Prosjektleder eller student i samarbeid med prosjektleder

Hvem gir veiledning? FoU-administrasjonen og forskningsgruppeleder

Informasjon til prosjektleder.

  • Hvordan sende meldeskjema? Se Veileder forskningsprosjekt.
  • Forskningsgruppeleder og/eller FoU-administrasjonen kan veilede prosjektleder vedrørende innholdet i meldeskjema, avhengig av kompetanse. Det finnes også veiledning på  NSD sin nettside. NSD kan også kontaktes per telefon eller epost.
  • Ved studentprosjekter er veileder prosjektleder og ansvarlig for å sjekke at det studenten gjør er riktig. Veileder skal ha kopi av brev/e-post til student.

Kontroll og informasjon

Hvem utfører: FoU-administrasjon

Informasjon ved alvorlige avvik: I tillegg til instituttleder, meld fra til sikkerhet@oslomet.no med noen få setninger, se Hva du skal gjøre, og bistå med å rydde opp i avviket.

Gi innspill til ledelse og ansvarlige for revisjon av internkontrollsystemet på bakgrunn av kontroller og avvikshåndtering.

Når: Sjekk meldingsarkivet en gang i måneden, se NSD sin nettside med både nytt og gammelt meldearkiv.

Ved oppstart av nye prosjekter skal følgende gjøres dersom prosjektet behandler sensitive personopplysninger og bør gjøres dersom prosjektet behandler alminnelige personopplysninger:

  • Sende link til Veileder forskningsprosjekt, se Personvern, ROS-analyse, dataplaner og databehandling.
  • Sende link til informasjon som er spesielt rettet mot aktuelt prosjekt (spesiell informasjon). Sjekk f.eks. om det er lydopptak og si noe om hva prosjektleder bør være spesielt oppmerksom på (f.eks. ikke bruk mobiltelefon til opptak). Ved bruk av lydopptak som metode sendes link til artikkel om lydopptak.
  • Kopier inn i e-posten til prosjektleder/student punkter i vurderingsbrev fra NSD som omhandler sensitive personopplysninger, informasjonssikkerhet, databehandler, prosjektavslutning og anonymisering.
  • Opplys om at de kan ta kontakt med itservicedesk@oslomet.no, ved behov for teknisk bistand i forbindelse med behandling av personopplysninger i forskningsprosjekter.
  • Opplys om at databehandleravtaler og risikovurderinger skal sendes FoU-rådgiver for arkivering.

Se gjennom meldeskjema og andre dokumenter knyttet til prosjektet både ved oppstart av nye prosjekter som behandler sensitive personopplysninger og i andre tilfeller der et prosjekt bør sjekkes opp (melding fra NSD, PVO m.fl eller prosjektet ligger under "Ingen vurdering" og har status "Lukket").

  • Er prosjektleder fortsatt tilsatt ved OsloMet? Har prosjektleder sluttet og ny prosjektleder er oppnevnt skal det sendes endringsmelding til NSD. Har forskningsansvaret for prosjektet blitt overført til ny institusjon skal dette følge av endringsmeldingen. Tilsvarende endringsmelding skal sendes når studenter slutter før utløp av prosjektperioden.
  • Er prosjektet godkjent av NSD eller er det fortsatt under vurdering? Er prosjektet ikke godkjent, vurder om vedkommende trenger hjelp. Det kan være små opprettinger som forsker fint greier selv, evt. i samråd med forskningsgruppeleder eller andre forskere.
  • Hvordan er informasjonssikkerheten ved behandling av personopplysningene? Vurder det som beskrives i meldeskjema opp mot retningslinjene i Veileder forskningsprosjekt om Valg av elektronisk verktøy og lagringssted for lagring av forskningsdata. Dersom lagringen ikke ser ok ut, send e-post til prosjektleder med link til nevnte nettside.
  • Er andre henvendelser fra NSD besvart/fulgt opp? Dersom henvendelsen ikke er besvart/fulgt opp, sendes dette videre til prosjektleder og vedkommende følges opp. Aktuelle spørsmål å stille: " Hvorfor er ikke henvendelse fra NSD fulgt opp? Trengs det hjelp?"....
  • Er prosjektet avsluttet? Avklar status i prosjektet. Når perioden i meldeskjema er avsluttet tar NSD kontakt med prosjektleder via brev, som både vil ligge i NSD sitt arkiv og i Public 360, for å avklare status i prosjektet. Prosjektleder skal i utgangspunktet anonymisere/slette personopplysningene i. h. t det som er beskrevet i meldeskjemaet. Skal personopplysningene lagres utover prosjektperioden må dette godkjennes av NSD eller det må innhentes nytt samtykke fra den registrerte, mer info i Veileder forskningsprosjekt om Behandling av data etter avsluttet prosjekt, og langtidslagring av data
  • Følg opp og forebygg avvik.

Informasjon om internkontrollen.

Eksempler på spørsmål i skjema Søknad om tildeling av FoU-tid

  • Skal det registreres personopplysninger i forskningsprosjektet?
  • Skal det registreres sensitive personopplysninger?
  • Er personopplysningene anonymiserte og kan ikke identifiseres verken direkte eller indirekte?
  • Har du meldt prosjektet til NSD?
  • Må prosjektet søke om godkjenning hos annen relevant instans eller få en forsvarlighetsvurdering av REK?
  • Har du foretatt en risikovurdering for sikker lagring av forskningsdata iht. universitetets retningslinjer?
  • Har du behov for bistand til å vurdere valg av riktig elektronisk verktøy for lagring av forskningsdata?
chatbot-portlet