Sjekkliste for behandling av personopplysninger i forskning - Ansatt

Sjekkliste for behandling av personopplysninger i forskning

template.back.to.overview Sjekkliste for behandling av personopplysninger i forskning

Det listes opp ulike nødvendige "sjekkpunkter" for en forsker eller student når man skal behandle personopplysninger i forskning; blant annet huske å melde prosjektet til Personverntjenester (Sikt) for å få deres vurdering av personvernet.

Før du starter å planlegge et forskningsprosjekt eller en studentoppgave, prøv deg på følgende:

  • Ansvar

    Hvert forsknings- og studentprosjekt som behandler personopplysninger skal ha en forsker/veileder som har rollen som prosjektleder. Prosjektleder er ansvarlig for at prosjektet oppfyller kravene i personvernregelverket.

    Prosjektleder har et selvstendig ansvar for personvernet i forsknings- og studentprosjekter, se prosjektleders ansvar. Ph.d.-studenter kan regnes som prosjektledere for sine ph.d.-prosjekter. Dette må du sjekke opp med ditt fakultet.

    Studentveiledere har alltid ansvar for personvernet i studentforskning på bachelor- og masternivå. Studenter har likevel et selvstendig ansvar for at personvernet er ivaretatt.

    Se også: Forskningsansvarliges rolle og oppgaver.

  • Forskningsetisk vurdering

    Ved planlegging av et forskningsprosjekt som behandler personopplysninger, skal du vurdere om prosjektet er i tråd med de forskningsetiske retningslinjene. Hvis dette ikke er tilfellet, skal det gjøres justeringer slik at prosjektet er i tråd med disse retningslinjene.

    Videre skal du i planleggingen av forskningsprosjektet, kartlegge hvilke godkjennelser og vurderinger som er nødvendige for ditt prosjekt, og vurdere hva som skal være prosjektets lovlige grunnlag. Hvis det lovlige grunnlaget er samtykke, sjekk ut nettsiden om samtykke og informasjonsskriv.

    Andre lovlige grunnlag kan du finne på datatilsynets nettside. I forskning er det mest aktuelt med "i allmennhetens interesse" (datatilsynet.no).

    Hvis du får innvilget dispensasjon fra taushetsplikt for å benytte opplysninger fra pasientjournal og andre behandlingsrettede helseregistre eller fra helseregistre kan dette vedtaket utgjøre både unntak fra taushetsplikten for virksomheten som skal utlevere opplysninger til prosjektet, og det rettslige behandlingsgrunnlaget for behandlingen av personopplysninger i prosjektet. Vær oppmerksom på at dispensasjonen kan inneholde vilkår som du må følge. Se nettside om Tilgang til taushetsbelagt materiale.

    Uansett lovlig grunnlag skal utvalget ha informasjon om prosjektet og sine rettigheter, som innsyn, retting, begrensning, evt. sletting, klagemuligheter, kontaktperson m.m.

  • Behandling av personopplysning i student- og forskningsprosjekter

    Personverntjenester (Sikt)(sikt.no), er OsloMet sin personvernrådgiver i forskning. Student- og forskningsprosjekter som behandler personopplysninger skal meldes til Personverntjenester (Sikt).

    Dette gjelder også prosjekter innenfor medisinsk- og helsefaglig forskning, som i tillegg må vurderes om er fremleggspliktig for REK.

    Se nettside om studentprosjekter (student.oslomet.no) hvis du skal veilede studenter.

    Prosjektet skal meldes til Personverntjenester (Sikt) senest 30 dager før datainnsamlingen skal starte. For å redusere saksbehandlingstiden hos Personverntjenester (Sikt) anbefaler vi at du leser hva du bør gjøre før utfylling av meldeskjema (sikt.no).

    Hvis det foretas endringer i prosjektopplegget i forhold til de opplysningene som ligger til grunn for Personverntjenester (Sikt)s vurderinger, skal det sendes inn et eget endringsskjema (sikt.no).

    Medisinske og helsefaglige forskningsprosjekter kan søke Personverntjenester (Sikt) parallelt med søknad om etisk forhåndsvurdering (forsvarlighetsvurdering) hos regionale etiske komiteer (REK).

  • Anonyme opplysninger

    Hvis du behandler fullt ut anonyme opplysninger i ditt prosjekt, trenger du ikke å melde prosjektet til Personverntjenester (Sikt). Anonyme opplysninger er informasjon som ikke på noe vis kan identifisere enkeltpersoner – verken direkte gjennom navn eller fødselsnummer, indirekte gjennom bakgrunnsvariabler, eller gjennom navneliste/koblingsnøkkel, krypteringsformel og kode.

    På Personverntjenester (Sikt)s nettsider kan du også sjekke om du må melde ditt prosjekt (sikt.no).

    Hvis du fortsatt er i tvil om forskningsprosjektet behandler personopplysninger, kan du ta kontakt med Personverntjeneste (Sikt) eller personvernkontakt FoU ved ditt fakultet/senter.

    Se også nettside om anonyme-, anonymiserte eller avidentifiserte data.

  • Hvordan melde et forskningsprosjekt og hva skal legges ved meldeskjemaet?

    Hvordan melde et forskningsprosjekt?

    Personverntjenester (Sikt) har utarbeidet et skjema som skal benyttes ved melding av forsknings- og studentprosjekter. Det er viktig at alle prosjekter som behandler personopplysninger meldes inn, og at du oppgir så mange detaljer som mulig om ditt prosjekt.

    Meldeskjemaet er lagt ut på Personverntjenester (Sikt) sin hjemmeside (sikt.no). Her finner du også nyttig veiledning og svar på ofte stilte spørsmål. Personverntjenester (Sikt) har også en chat-funksjon du kan bruke hvis du har spørsmål mens du fyller ut skjemaet.

    Meldeskjemaet skal fylles ut av den som skal gjennomføre prosjektet.

    Hva skal legges ved meldeskjema?

    Legg ved kopi av spørreskjema, intervjuguide, registreringsskjema, informasjonsskriv, samtykkeerklæring, søknad/tilråding fra Regional komité for medisinsk og helsefaglig forskningsetikk (hvis aktuelt), vedtak om dispensasjon fra taushetsplikten, etc. skal legges ved meldeskjemaet. Dersom meldeskjemaet sendes inn før andre vedtak foreligger, skal kopi av vedtak ettersendes.

  • Saksbehandling hos Personverntjenester (Sikt)

    Når du melder ditt prosjekt til Personverntjenester (Sikt), vil de foreta en vurdering av prosjektets personvernkonsekvenser. Dersom prosjektet ikke ansees som personvernmessig risikofylt, vil Personverntjenester (Sikt) gi deg tilbakemelding på at du kan starte prosjektet og datainnsamlingen. Dersom prosjektet antas å ville innebære høy risiko for de registrertes personvern, vil Personverntjenester (Sikt) foreta en inngående personvernkonsekvensvurdering der risikoer og tiltak for å minske risikoene blir kartlagt. Dette kalles også en DPIA.

    Personverntjenester (Sikt)s endelige vurdering blir så oversendt til personvernombudet for kommentarer og vurdering.  Deretter sendes DPIA-en med personvernombudets vurdering  tilbake til Personverntjenesters (Sikt) med signert godkjenningsbrev. Behandlingsansvarlig i linjen, normalt instituttleder eller instituttdirektør, godkjenner Personverntjenester (Sikt)s vurdering overordnet ved signering av godkjenningsbrev. Du er hele tiden orientert om saksprosessen. Kommunikasjon i forbindelse med prosjektet skal fortrinnsvis foregå mellom deg og Personverntjenester (Sikt).

    Når et student- eller forskningsprosjekt godkjennes av Personverntjenester (Sikt), vil det registreres i Personverntjenester (Sikt)s meldearkiv. Meldearkivet oppdateres fortløpende, og inneholder all informasjon om ditt prosjekt.

  • Deling av personopplysninger

    Dersom du skal dele personopplysninger med andre personer, institusjoner, organisasjoner eller virksomheter utenfor OsloMet, må du avklare om du har lov til å dele personopplysningene.

    Sjekk ut nettsider om

    Hvis du skal overføre data til land utenfor EU/EØS, må du i tillegg sjekke ut nettside om overføring av personopplysninger til utlandet.

  • Sørg for sikker lagring

    Personopplysninger skal behandles på en måte som gir tilstrekkelig sikkerhet  og vern mot uautorisert tilgang og skade. Ved OsloMet er det gitt anbefalinger for lagring av data ut fra klassifisering som ivaretar disse hensynene.

    Les mer om valg av elektronisk verktøy i OsloMets lagringsguide og på nettsiden Lagring av forskningsdata.

    Tilgangsbegrensning

    Tilgangen til informasjon skal begrenses slik at kun forskningsmedarbeidere i forskningsprosjektet har tilgang til personopplysningene. For å begrense tilgang til personsensitiv informasjon ytterligere, kan pseudonymisering benyttes. Det vil si at man fjerner direkte identifiserende opplysninger slik at personopplysningene ikke lenger kan knyttes til en bestemt person uten bruk av tilleggsopplysninger.

    Sjekk at forskningsmedarbeidere har signert nødvendig taushetsplikterklæring.

    Ved spørsmål om lagring i meldeskjema

    Dersom du velger "lagring på privat enhet" ved utfylling av Personverntjenester (Sikt)s meldeskjema, blir du bedt om å laste opp retningslinjer for lagring på privat enhet, eller godkjennelse fra OsloMet. Dette kan være aktuelt i studentprosjekter, se nettside om behandling av personopplysninger i studentoppgaver om bruk av privat PC.  Retningslinjer for lagring vil du kunne finne i OsloMets lagringsguide. Se også nettside for Lagring av forskningsdata. Hvor du kan lagre ulike typer data, beror på hvilke type opplysninger du skal forske med. De ulike kategorier av data (grønn, gul, rød, svart) kan du lese om i OsloMets retningslinjer for klassifisering. Kun grønne data kan lagres fritt på privat enhet.  Du er selv ansvarlig for å følge lagringsrutinene.

  • Gjør en risikovurdering

    Ved oppstart av prosjektet, og før du går i gang med å samle inn, analysere og lagre data, skal du gjennomføre en risikovurdering og etablere rutiner for hvordan personopplysningene skal behandles. Risikovurderingen arkiveres i P360 så snart den er gjennomført.

  • Langtidslagring av prosjektdata

    Dataene skal ikke lagres lenger enn det som er nødvendig for å oppnå formålene som personopplysningene behandles for. Når forskningsprosjektet er avsluttet, skal dataene enten bli  slettet eller anonymisert. I noen tilfeller kan det være ønskelig/foreligge krav om at dataene lagres lengre enn til avsluttet prosjektperiode. De kan da overføres til et arkiv for videre lagring. Personverntjenester (Sikt) kan gi anbefaling om håndtering av data ved prosjektslutt. Les mer om langtidslagring.

    Personverntjenester (Sikt) vil ved prosjektavslutning ta kontakt med prosjektleder med tilbud om arkivering av prosjektdata.

  • Avvik

    Dersom du oppdager et avvik fra disse rutinene eller personvernregelverket i forbindelse med behandling av personopplysninger i forskningsprosjektet skal du fylle ut et skjema for melding om avvik og sende det til sikkerhet@oslomet.no.  

  • Forskningsdatabasen

    Forskningsdatabasen er en intern database der du skal registrere metainformasjon om forskningen. På denne måten blir forskningen søkbar og tilgjengelig for andre tilsatte ved OsloMet, og det blir lettere å orientere seg om relevante forskningsprosjekter. Forskningsdatabasen regnes som protokoll over personopplysninger i forskning etter personvernforordningen, og informasjonen brukes til lovpålagt internkontroll.

    Første versjon av Forskningsdatabasen ble lansert i juni 2020.

    Du kan lese mer om forskningsdatabasen i veileder for forskningsdatabasen, hvilke prosjekter som skal registreres der, hva som skal registreres og hvordan.

  • Medisinsk og helsefaglig forskning

    • Pågående medisinske og helsefaglige prosjekter som ble startet før 2018 og som tidligere har fått en vurdering/godkjenning av personvernet, trenger i utgangspunktet ikke å melde prosjektet til Personverntjenester (Sikt) for deres vurdering.
    • Pågående medisinske og helsefaglige prosjekter som får prosjektendringer godkjent fra REK etter juli 2018, må i tillegg ha en vurdering av Personverntjenester (Sikt) dersom endringene i prosjektet medfører endrede konsekvenser for personvernet til forskningsdeltakerne, se Personverntjenester (Sikt) sin nettside om endringsmeldinger (sikt.no). Dersom du fortsatt er i tvil om endringene vil få konsekvenser for personvernet eller er av en slik art at det bør sendes en endringsmelding til Personverntjenester (Sikt), ta kontakt med Personverntjenester (Sikt) på telefon 47 55 58 21 17 (tast 1), epost personverntjenester@sikt.no eller via chat.
    • Du må også vurdere å sende endringsmelding til REK.
    • Husk å melde fra til TSD, dersom endringen innebærer forlengelse av prosjektperioden, slik at data ikke slettes på opprinnelig godkjent dato. Ny vurdering/tilrådning fra Personverntjenester (Sikt) skal legges ved melding til TSD.
  • Spørsmål

    Dersom du har spørsmål knyttet til utfylling av meldeskjemaet, kan Personverntjenester (Sikt) kontaktes på tlf.: 47 55 58 21 17 (tast 1), e-post: personverntjenester@sikt.no eller via chat. Ved OsloMet kan spørsmål rettes til personvernkontakt FoU på ditt fakultet eller senter.