Rutine vedrørende meldeplikt til NSD | FoU-håndbok - Ansatt

Internkontroll FoU

Internkontroll FoU

Dette er en rutine som skal hjelpe instituttleder/instituttdirektør/senterleder å ivareta sitt forskningsansvar når det gjelder forsknings- og studentprosjekter på sitt institutt/senter som trenger vurdering av lovlig grunnlag, ulike tillatelser osv.
  • Instituttleder/instituttdirektør/senterleder sitt ansvar

    Det henvises til

    ​​​​​​Instituttleder/senterleder med budsjett- og personalansvar for sin enhet kan delegere oppgavene videre i linjen, til bl.a. studieledere, og de står fritt til å benytte seg av tilbudt bistand fra FoU-administrasjonen for å få utført oppgaver. Se Rutine for personvernkontakter FoU sin internkontroll.

    Alle prosjektene skal være forankret ved instituttet/senteret.

  • Mål for oversikt, oppfølging og kontroll

    Forsknings- og studentprosjektene skal gjennomføres i henhold til gjeldende personvernregelverk, helseforskningsloven m.m.

    I henhold til Personvernforordningen (GDPR) art. 30 er OsloMet forpliktet til å ha oversikt over  – og føre internkontroll med  all behandling av personopplysninger ved OsloMet.

    Både interne og eksterne prosjekter skal derfor være oppført både i Sikt (Kunnskapssektorens tjenesteleverandør) sitt meldingsarkiv og i Forskningsdatabasen. Dette gjelder også studentprosjekter som behandler personopplysninger. (Prosjekter hvor OsloMet kun er databehandler vil bare være oppført i Forskningsdatabasen).

    Det føres internkontroll både med interne prosjekter (forsknings- og studentprosjekter) og med eksterne samarbeidsprosjekter hvor OsloMet er behandlingsansvarlig eller databehandler.  Internkontrollen skal loggføres i internkontrollfanen i Forskningsdatabasen.

  • OsloMet sin oversikt (protokoll)

    Sikt sitt meldingsarkiv

    Alle prosjekter som behandler opplysninger skal meldes inn til Sikt som har et meldingsarkiv (nsd.no) over forskningsprosjekter. Per i dag har Sikt både et «gammelt» arkiv for prosjekter innmeldt før 20. juli 2018 og et «nytt» arkiv for prosjekter meldt etter 20. juli 2018. Her arkiveres dokumenter som inneholder detaljert informasjon om de enkelte prosjektene, og som leveres inn til SIKT i forbindelse med vurdering av lovlig grunnlag. I tillegg skal flere av dokumentene, som databehandleravtaler, avtaler om felles behandlingsansvar og risikovurderinger, arkiveres i Public 360. Også andre dokumenter kan være aktuelle å arkivere i Public 360 grunnet behov for dokumentasjon, se nettside om dokument og prosjektarkiv.

    Forskningsdatabasen

    OsloMet har en Forskningsdatabase over alle forskningsprosjekter ved OsloMet, både intern- og eksternfinansierte, samt studentprosjekter. Her registreres metainformasjon om forsknings- og studentprosjektene. Prosjekter hvor OsloMet kun er databehandler vil bare være oppført i Forskningsdatabasen.

  • Tilganger til protokoll

    Sikt

    Arkivet hos Sikt er adgangsregulert. Dekan/senterleder, instituttleder/instituttdirektør eller personvernkontakt FoU sin nærmeste leder sender e-post til kontaktperson for Sikt ved OsloMet, Morten Bjørnskau Johannesen, med ønske om tilgang. Dekan/senterleder, instituttleder/instituttdirektør og personvernkontakt FoU/FoU rådgivere ved SVA (samt personvernkontakts nærmeste leder) skal ha/kan få tilgang til meldingsarkivet. Hver enkelt får tilgang på grunnlag av hva de har behov for i sitt arbeid.

    Forskningsdatabasen

    Alle ansatte ved OsloMet har tilgang til metadata om forskningsprosjekter ved OsloMet. Personvernkontakter FoU og FoU rådgivere ved SVA har ekstra tilganger i forbindelse med internkontrollarbeid.

  • Nærmere om hva forskningsdatabasen inneholder

    Forskningsdatabasen anses som protokoll over behandlinger av personopplysninger i forskning etter personvernforordningen og inneholder mye av det samme som Sikt sitt meldingsarkiv. I tillegg er det mer detaljert informasjon i forhold til status, samarbeidspartnere, personvernavtaler, dataflyt, klassifisering og risikovurdering.

    Alle forskningsprosjekt, både intern- og eksternfinansierte prosjekter, skal registreres. I tillegg skal studentoppgaver der personopplysninger behandles også være registrert i Forskningsdatabasen. Det er forsker(prosjektleder) og ph.d.-kandidat sitt ansvar at forskningsprosjektene er lagt inn. Det er veileder (prosjektleder) sitt ansvar at studentprosjektene er lagt inn.

  • Hvem utfører internkontrollen og når?

    Personvernkontakt FoU og FOU-rådgivere ved SVA med tilgang til Sikt sitt meldingsarkiv

    • utfører internkontrollen minst en gang i måneden, helst hver 14 dag, og

    • gir innspill til ledelse og ansvarlige for revisjon av internkontrollsystemet på bakgrunn av kontroller og avvikshåndtering ved behov.

    • Informasjon om internkontrollen (nsd.uib.no).

    Retningslinjer for behandling av personopplysninger: "Personvernkontakt FoU utføre internkontroll av forskningsprosjekter på sitt fakultet/senter – NSD (Norsk senter for forskningsdata) sitt meldingsarkiv og evt. en forskningsprosjektdatabase ved OsloMet når det er på plass".

  • Hva skal gjøres av internkontroll i meldingsarkivet til Sikt?

    Sikt gjør deler av internkontrollen på vegne av OsloMet ved oppstart av et prosjekt.

    De vurderer:

    • lovlig behandlingsgrunnlag, 

    • deler av informasjonssikkerheten i prosjektet,

    • sjekker at det foreligger nødvendige godkjennelser/vurderinger der det er et behov,

    • fanger opp prosjekter der rollefordelingen er uklar,

    • fanger opp hvis et prosjekt reiser forskningsetiske problemstillinger,

    • vurderer om det skal gjennomføres en DPIA (personvernkonsekvensvurdering) og hjelper forsker med selve gjennomføringen av en DPIA,

    • registrerer prosjekter hvor det mangler tilbakemelding fra prosjektleder/student eller andre forhold under «Ubesvarte slutthenvendelser», «Uavklarte» og «Avvik»  og

    • følger opp prosjektleder/student ved prosjektslutt.

    Sjekkliste for personvernkontakt FoU og FoU rådgiver ved OsloMet ved oppstart av nye prosjekter.

    Prosjekter som behandler sensitive personopplysninger bør prioriteres.

    Sjekk

    • at samtykke er innhentet der «samtykke er det lovlige behandlingsgrunnlaget.  

    • at det er gitt informasjon til de registrerte (skal gjøres uansett lovlig behandlingsgrunnlag),

    • hvilke elektroniske løsninger som blir benyttet (vurder det som beskrives i meldingsskjemaet opp mot OsloMet sine retningslinjer for lagring av forskningsdata).

    • at det utføres risikovurdering av dataflyt,

    • at nødvendige personvernavtaler inngås,

    • at krav i eventuelle tillatelser følges opp, f.eks. vilkår i godkjenninger/vurderinger  fra REK og NSD

    • at eventuell melding av avvik meldes til ledelse, sikkerhet@oslomet.no og følges opp,

    • at prosjekter under «Ubesvarte slutthenvendelser», «Uavklarte» og «Avvik» i Sikt sitt meldingsarkiv følges opp (I meldingsarkiv før 20. juli 2018, se knappen "Postkasse" der prosjekter med manglende tilbakemelding til NSD er registrert. I meldingsarkiv etter 20. juli 2018, se i Oversikten, høyre side, på «Ubesvarte slutthenvendelser», «Uavklarte» og «Avvik»). Ved «uavklarte», vurder om vedkommende trenger hjelp. Det kan være små opprettinger som prosjektleder/student fint greier selv, evt. i samråd med forskningsgruppeleder eller andre forskere.

    Send informasjon til prosjektleder/student

    • Sende link til Personvern og informasjonssikkerhet for forskere og/eller Personvern og informasjonssikkerhet for studenter og opplys at du kan bistå med råd ved behov for hjelp med personvernavtaler, risikovurderinger osv.

    • Send link til Forskningsdatabasen og minn på at prosjektet skal registreres der.

    • Sende link til informasjon som er spesielt rettet mot aktuelt prosjekt (spesiell informasjon). Sjekk f.eks. om det er lydopptak og si noe om hva prosjektleder bør være spesielt oppmerksom på (f.eks. ikke bruk mobiltelefon til opptak). Ved bruk av lydopptak som metode sendes link til artikkel om lydopptak.

    • Hvis bruk av elektroniske løsninger ikke er ok, send e-post til prosjektleder/student med link til nettsider med relevante retningslinjer.

    • Kopier inn i e-posten til prosjektleder/student punkter i vurderingsbrev fra Sikt som omhandler sensitive personopplysninger, informasjonssikkerhet, databehandler, prosjektavslutning og anonymisering.

    • Opplys om at de kan ta kontakt med itservicedesk@oslomet.no, ved behov for FoU-støtte i forbindelse med elektronisk behandling av personopplysninger i forskningsprosjekter.

    • Opplys om at personvernkontakt FoU kan hjelpe med arkivering av dokumenter i P360, som personvernavtaler og risikovurderinger.

    • Er henvendelser fra Sikt besvart/fulgt opp? Dersom henvendelsen ikke er besvart/fulgt opp, sendes dette videre til prosjektleder/student og vedkommende følges opp. Aktuelle spørsmål å stille: " Hvorfor er ikke henvendelse fra Sikt fulgt opp? Trengs det hjelp?"....

    1. Dersom behandlingen av personopplysninger aldri ble igangsatt, og heller ikke skal igangsettes (avslutte/trekke), kan innmelder eller OsloMet sende Sikt en bekreftelse på dette. Da endres status fra «lukket» til «trukket». Det anbefales å sender samlede meldinger med ref.nummer på meldeskjema OsloMet ønsker at NSD skal avslutte eller trekke. Man bør også i meldingen tydeliggjøre hva OsloMet ønsker at NSD skal gjøre. For eksempel: «Vi har vært i kontakt med student/prosjektansvarlig i følgende prosjekter, og de har bekreftet at behandlingen av personopplysninger er avsluttet: XXXXXX, XXXXXX,…..» eller «Vi har fått bekreftet at følgende prosjekter er satt på vent/ikke skal gjennomføres, og ber om at meldeskjemaene trekkes: XXXXXX,XXXXX….».

    2. Dersom OsloMet får kontakt med innmelder og behandlingen av personopplysninger er pågående, bør OsloMet be innmelder om å ta kontakt ved å åpne meldeskjemaet igjen og gjøre endringene NSD har etterspurt. NSD foretar da en vanlig vurdering av prosjektet.

    3. Dersom prosjektet ikke er igangsatt, men innmelder har planer om å igangsette prosjektet, må OsloMet be innmelder om å åpne meldeskjemaet. Det gjør de ved å gjøre endringene Sikt har etterspurt (eller tilpasse meldeskjemaet etter slik det nye prosjektet ser ut) og sende det inn på nytt til Sikt. Nytt meldeskjema trengs ikke opprettes og Sikt fortsetter vurderingen av meldeskjemaet.

  • Hva skal gjøres av internkontroll i forskningsdatabasen?

    Sjekk i Forskningsdatabasen:

    • at prosjekt i Sikt sitt meldingsarkiv er registrert i Forskningsdatabasen.

    • at samtykke er innhentet fra informant.

    • at risikovurdering er gjennomført

    • at datoer stemmer med godkjenninger/vurderinger og at disse er innhentet

    • at nødvendige avtaler som regulerer personvern er signert

    • sjekke at dataflyt er i henhold til OsloMets retningslinjene når det gjelder klassifisering og elektronisk løsninger.

    • at endringer som skjer i prosjektet følges opp, f.eks. en prosjektleder som slutter, nye forskningsmedarbeidere skal ha tilgang m.m., og at endringsmeldinger blir sendt til REK (der REK har vurdert prosjektet) og Sikt

    • at datamaterialet slettes/anonymiseres ved prosjektslutt (der hvor det ikke foreligger krav om arkivering som dokumentasjonskrav fra REK eller ekstern som finansierer prosjektet) (se oversikt over ubesvarte sluttmeldinger hos Sikt)

    • at nødvendige sluttmeldinger er sendt Sikt og eventuelt REK, at dokumentasjonsplikten overholdes og dokumenter lagres i prosjektets saksmappe i P360

    • at forskeren har lagt til rette for internkontroll ved å lagre dokumenter med dokumentasjonskrav i P360 og oppgitt referansen til dokumentene i Forskningsdatabasen. 

    Registrer den utførte internkontrollen i Forskningsdatabasen i fanen Internkontroll.  

    Skriv logg på hva som er gjort.

  • Håndtering av forhåndsmelding til REK

    Følge opp REK-saker i P360

    Ved prosjektstart: Sende ut epost til prosjektleder/student om

    Sjekk at det er

    • sendt melding til REK om uønskede medisinske hendelser

    • sendt melding om biobank der det er aktuelt

    • meldt avvik der det har skjedd et brudd på helseforskningsloven

  • Håndtering av prosjekter som skal lagres i TSD

    Se lokal nettside for TSD  (lenker til vedlegg, til TSD og relevant informasjon).

    Ved planlegging av prosjekt

    • Har prosjektet data som klassifiseres som «røde data»?

    • Trenger prosjektet TSD, eller kan andre tjenester være aktuelt? Se lagringsguide.

    • Er dette forskingsprosjekt, som faller inn under avtalen med TSD? Student- eller administrative prosjekt dekkes i utgangspunktet ikke av gjeldende TSD-avtale.

    • Har prosjektet spesielle behov?

      • Skal prosjektet håndtere store datasett eller kjøre tunge beregninger (tungt å kjøre på lokal PC)?

      • Spesiell type datainnsamling

      • Programvare som ikke er opplistet på TSD sine sider

    • Ved behov for rådgivning mot TSD, send e-post til it-servicedesk@oslomet.no.

    Ved søknad om tilgang til TSD

    To dokument kreves vedlagt søknad om TSD

    1. Kopi av tilrådning fra NSD Også for prosjekt med godkjenning fra REK.

    2. «Vedlegg til databehandleravtale …» (se lokal nettside for oppdatert versjon). Personvernkontakt/FoU-rådgiver skal sjekke at «Vedlegg til databehandleravtale» er korrekt utfylt, signere/bekrefte og returnere denne til prosjektleder/-administrator

    Sjekkpunkt

    • Prosjektleder/-administrator skal være ansatt ved OsloMet. Vanligvis er prosjektleder selv prosjektadministrator i TSD, men dette kan delegeres.

    • Prosjektleder skal være identisk med person som har mottatt godkjenning (REK) eller tilrådning fra Sikt Personverntjenester.

    • Sjekk at prosjektet har gyldig behandlingsgrunnlag.

      • Dato for tilrådning/godkjenning skal ikke være utløpt.

      • I sjeldne tilfeller kan prosjektet har flere godkjenninger. I så fall skal en føre opp godkjenning som utløper først.

    • Sjekk at aktuelle saks- og referanse-nummer er korrekt fylt inn: Sikt Personverntjenester, REK. P360 (arkivet)

    • Signer vedlegget, skann og returner til prosjektleder/-administrator.

    • NB! Den som skal være administrator i TSD er den som skal søke tilgang til TSD.

     

  • Handlingsplan/årshjul og årsrapport

    Se forslag til handlingsplan/årshjul (.doc) og årsrapport (.doc) og som kan benyttes ved det instituttet/senteret du utfører internkontrollen på vegne av.

  • Alternative hjelpemidler som støtte og inspirasjonskilde for å fange opp hvilke forskere som behandler personopplysninger i sine prosjekter

    1. Legge inn spørsmål om dette i FoU-tid søknadsskjema ved fakultetet.

            Eksempler på spørsmål:

    • Skal det registreres personopplysninger i forskningsprosjektet?

    • Skal det registreres sensitive personopplysninger?

    • Er personopplysningene anonymiserte og kan ikke identifiseres verken direkte eller indirekte?

    • Har du meldt prosjektet til NSD?

    • Må prosjektet søke om godkjenning hos annen relevant instans eller få en forsvarlighetsvurdering av REK?

    • Har du foretatt en risikovurdering for sikker lagring av forskningsdata iht. universitetets retningslinjer?

    • Har du behov for bistand til å vurdere valg av riktig elektronisk verktøy for lagring av forskningsdata?

           Ved å svare JA på et eller flere spørsmål kan forskeren følges opp med veiledning.

    1. Ta opp forholdet i medarbeidersamtale mellom studieleder og forsker.

    2. Se på regnskapslister.

    3. Sjekke om prosjekter registrert i Cristin, stemmer overens med prosjekter i meldingsarkivet til Sikt og i Forskningsdatabasen.

    4. Sjekke med forskergruppeledere om prosjektet behandler personopplysninger.

    5. Sjekke ut litt mer hvis en forsker med mye FoU-tid, har få prosjekter i meldingsarkivet til Sikt.

    6. Sjekke en eventuell databehandleravtale.

    7. Implementere punkt om behandling av personopplysninger i veilederavtalene mellom veileder og student, slik at begge er klar over sitt ansvar og hva når prosjektet skal vurderes av Sikt. Man bør f.eks. vise til informasjon om personvern i forskning på OsloMets nettside om personvern og informasjonssikkerhet for forskere, personvern og informasjonssikkerhet for studenter (student.oslomet.no) og personvern og informasjonssikkerhet for veiledere.