Jeg er forsker eller stipendiat

Forsker har ansvar for at prosjektet gjennomføres i henhold til lover og regler på personvernområdet. En forsker som er prosjektleder har ansvar for at alle som arbeider på prosjektet har tilstrekkelig kunnskap om personvern. Stipendiater skal forholde seg til særskilte regler.

    Forsker/prosjektleder har ansvar for at alle deler av persondatabehandling foregår på en trygg måte. Ulike typer personinformasjon må sikres på ulike måter. Hvilke og hva slags personinformasjon som planlegges innhentet har også betydning for hvilke godkjenninger som må hentes inn før prosjektstart.

    Stipendiater - personvern i forskningsprosjekt

    Stipendiater har per definisjon ikke forskerkompetanse. Veileder har dermed det formelle ansvaret for stipendiatens forskningsprosjekt.

    Stipendiat har et eget ansvar for å sette seg inn i og følge regler og rutiner for personvern og informasjonssikkerhet i sitt forskningsprosjekt.

    Stipendiat kan selv melde inn sitt prosjekt til NSD for vurdering av personvern og informasjonssikkerhet i prosjektet. Melding til NSD og eventuelle vedlegg, inklusiv eventuelle søknader til REK og NIHs Etiske komité skal kvalitetssjekkes av veileder. 

    Av praktiske hensyn kan stipendiat selv registrere sitt prosjekt i Prosjektweb/stå som prosjektleder i dette systemet. Veileder og stipendiat må sammen avklare hvem som sørger for arkivering av avtaler og andre arkivverdige prosjektdokument. 

     

    Godkjenninger og vurderinger før oppstart

    NIH forventer at forskere avklarer med instituttleder før arbeidet starter og før det søkes andre godkjenninger. For stipendiat- og masterprosjekt skal veileder sørge for slik avklaring.

    Forskningsprotokoll

    En prosjektbeskrivelse eventuelt en forskningsprotokoll vil for de fleste forskningsprosjekt være grunnlag for å søke om godkjenninger/vurderinger.

    Krav til forskningsprotokoll

    Forskningsprotokollen skal inneholde:

    • Opplysninger om forskningsanvarlig og prosjektleder
    • Opplysninger om ansvar og arbeidsfordeling for prosjektleder og prosjektdeltakere
    • En beskrivelse av prosjektet gitt på en allment forståelig måte og en vitenskapelig utformet prosjektplan med prosjektets formål, begrunnelse, materiale, metoder, sannsynliggjøring av at valg studiedesign kan gi svar på forskningsspørmålet og anslåtte tidsrammer for prosjektet.
    • Opplysninger om hvilke kriterier prosjektet legger til grunn for å velge ut forskningsdeltakere og hvordan disse rekrutteres
    • Opplysninger om informasjon til forskningsdeltakerne, personvern og samtykke, hvordan samtykke skal innhentes, eventuelt begrunnelse for hvorfor samtykke ikke skal innhentes. 
    • Vurdering av forskningsetiske utfordringer ved prosjektet, særlig nytte-risikoaspektet for forskningsdeltakere
    • Vurdering av tiltak for å kvalitetssikre data
    • Datahåndteringsplan. Denne skal beskrive hvordan data skal håndteres underveis i prosjektperioden og etter at prosjektet er avsluttet. Hensikten er å vurdere ulike aspekter ved håndtering av forskningsdata, fra innsamling/generering, prosessering, analyser, dokumentasjon, til lagring og framtidig deling av data. 
    • Hvordan helseopplysninger skal behandles, fra hvilke kilder helseopplysninger skal innhentes og om opplysningene skal uteveres til andre eller overføres til land utenfor EØS
    • Fra hvilke kilder humant biologisk materiale skal uttas og om materiale slik utleveres til andre eller overføres til utlandet
    • Finansieringskilder, interesser og avhengighetsforhold, forskere og forskningsdeltakeres eventuelle økonomiske forhold knyttet til det aktuelle forskningsprosjektet 
    • Plan for offentliggjøring av resultater og opplysninger om mulig utvidet bruk, herunder kommersiell bruk, av forskningsresultater, data eller biologisk materiale. 

    Melding til NSD

    Alle forskningsprosjekt som inkluderer personopplysninger eller forskning på humant biologisk materiale skal meldes til NSD. NSD gir sin vurdering av hvorvidt personvernet er ivaretatt i prosjektet, ansvaret ligger fortsatt hos forsker/NIH. Meld prosjektet via nsd.no/MinSide.

    Om meldeskjema NSD

    Se utfyllende informasjon fra NSD om meldeskjema.

    Viktige dokument som må legges ved for vurdering:

    • Spørreskjema
    • Intervjuguide
    • Samtykkeerklæring
    • Prosjektbeskrivelse

    Dersom meldeskjema sendes inn før andre vedtak foreligger (eksempelvis godkjenning fra REK eller fra etisk komite), skal kopi av disse ettersendes

    I informasjonsskriv skal personvernombud ved NIH oppgis: Rolf Haavik, epost personvernombud@nih.no.

    Helseforskningsprosjekt - REK

    Alle forskningsprosjekter som faller innenfor helseforskningsloven skal sendes til Regional komite for medisinsk og helsefaglig forskningsetikk (REK) for forhåndsgodkjenning. 

    Dette omfatter forskning på humant biologisk materiale, opprettelse av et helseregister knyttet til et forskningsprosjekt og innsamling av helseopplysninger når formålet er å få ny kunnskap om helse og sykdom. 

    Gå til REKs hjemmeside for mer informasjon om hvilke prosjekt som skal søke og hvordan. Forskere som er i tvil om et prosjekt trenger forhåndgodkjenning fra REK, kan legge frem en såkalt fremleggelsesvurdering for å få avklart om prosjektet antas for vurdering.

    Ved legemiddelutprøving eller klinisk utprøving av medisinsk utstyr må du søke til Statens Legemiddelverk og Helsedirektoratet.

    Etiske vurderinger

    Etisk komite ved NIH vurderer forsvarligheten i forskningsprosjekt og om forskningsprosjekt på mennesker er planlagt i henhold til forskningsetiske normer. 

    Kriterier for søknad til NIHs etiske komite

    Forskningsprosjekt skal ha godkjenning fra NIHs etiske komité dersom forskningsprosjektet:

    • Involverer mennesker direkte i form av intervensjoner (psykisk og/eller fysisk);
    • Har betydelig potensial for skade og belastning utover hva som kan regnes som normal risiko og belastning for deltaker;
    • Ikke er fremleggelsespliktig for REK - faller utenfor helseforskningslovens virkeområde.

    Forskningsprosjekt som involverer sårbare grupper, herunder barn og unge under 16 år, skal alltid godkjennes av NIHs etiske komité - med mindre det omfattes av helseforskningslovens virkeområde.

    Det samme gjelder for forskningsprosjekt med innsamling av humant biologisk materiale. 

    Se utfyllende informasjon om Etisk komite ved NIH.

    I tillegg til personvernvurderinger må forsker vurdere om prosjektet er i tråd med de forskningsetiske retningslinjene som gjelder for forskningsområdet. Se de Nasjonale forskningsetiske komtiteenes forskningsetiske retningslinjer for ulike fagfelt.

    Registrering i Prosjektweb

    Alle forskningsprosjekt som gjennomføres av NIH-ansatte skal registreres i Prosjektweb. Prosjektweb er tilgjengelig via Innersvingen. Dersom det innhentes personopplysninger, velg prosjekttype "forskning på mennesker ekstern finansiert" eller "forskning på mennesker internt finansiert".  I Prosjektweb får prosjektleder og prosjektmedlemmer tilgang på sjekklister/huskelister for prosjektadministrasjon. Ved å laste opp prosjektdokumenter som avtaler, budsjett og rapporteringer oppfyller du også arkiveringsplikten (automatisk overføring til P360). Se veiledere på Innersvingen/Nyttig/Forskningsstøtte.

    Prosjektweb er bare tilgjengelig for ansatte og studenter ved NIH via @nih.no-mail.


    Behandlingsgrunnlag

    Prosjektleder har ansvar for at det foreligger et lovlig grunnlag for behandling av personopplysninger. Det vanligste grunnlaget for forskning er samtykke fra deltakerne men andre grunnlag kan være aktuelle. Ved særskilte kategorier personopplysninger ("sensitive data") kreves uttrykkelig samtykke, som regel signatur. 

    Les mer om behandlingsgrunnlag på side om rutiner 


    Innsamling av data 

    Først når alle godkjenninger foreligger - inklusiv bekreftelser fra deltakerne - kan selve innsamlingen starte. Prosjektleder har ansvar for data som samles inn og behandles. Personopplysninger skal ikke lagres lenger enn det som er nødvendig for formålet de ble innhentet for. 

    Les mer om innsamling på side om rutiner.


    Lagring - klassifisering av data

    Prosjektleder har ansvar for at datamateriale er forsvarlig sikret underveis og må vurdere hvordan de lagres. Sikringsnivået vil avhenge av hva slags persondata som behandles - med strengest krav for data i kategori sort og rød.

    Informasjon om hvordan data skal lagres må være omtalt i meldeskjema til NSD og eventuelt i søknad til REK.

    Les mer om lagring og klassifisering på side om rutiner


    Tilgang, overføring eller deling

    Prosjektleder må også vurdere hvem som skal ha tilgang til aktive forskningsdata.

    Virksomheten/forskerne/studentene eller medarbeiderne som skal  ha tilgang til persondata må være omtalt i meldeskjema til NSD og eventuelt i søknad til REK. Forskningsdeltakerne må også være informert om og ha samtykket til slik deling av personinformasjon.

    Les mer om tilgang og deling på side om rutiner


    Oppfølging deltakeres personvern

    Enhver som har samtykket til deltakelse i et forskningsprosjekt kan som hovedregel kreve innsyn, retting av uriktig registrerte opplysninger, trekke seg fra videre deltakelse uten begrunnelse/tilbakekalle avgitt samtykke. Krav om innsyn skal besvares innen 30 dager.

    Eksempler oppfølging

    • Besvare henvendelser fra forskningsdeltakere 
    • Sørge for forsvarlig sletting eller anonymisering av forskningsdata dersom informanter trekker sitt samtykke
    • Be respondenter om nytt samtykke dersom innsamlede opplysninger skal behandles til andre formål eller på andre måter, for eksempel lagres lengre enn hva de opprinnelig har samtykket til. 
    • Kontrollere at personopplysninger som behandles i prosjektet ikke anvendes til andre formål enn det deltakerne har samtykket til.
    • Kontrollere at avtaler med samarbeidspartnere overholdes


    Endringsmeldinger 

    Ved vesentlige endringer i prosjektet må forsker/prosjektleder sende endringsmelding til de samme institusjonene som opprinnelig har gitt godkjenning. Det kan også være nødvendig å innhente nytt samtykke fra deltakerne.

    Eksempler på prosjektendring

    • Endring i design og analyse
    • Ny kunnskap om risiko, ulempe eller nytte for forskningsdeltakerne
    • Endring av prosjektleder, forskningsansvarlig, forskningsbiobank eller prosjektmedarbeider.
    • Utsettelse eller forlengelse av prosjektperiode
    • Økning i antall forskningsdeltakere
    • Endring i rekrutteringsprosedyre
    • Endring i inklusjons og eksklusjonskriterier
    • Innholdsmessig endring av informasjonsskriv og forespørsel om deltakelse
    • Endring i gitte vilkår for dispensasjon fra taushetsplikt
    • Endring i hvem som har tilgang til personsensitive opplysninger
    • Endring av oppbevaring og behandling av helseopplysninger eller biologisk materiale.

    Prosjektleder fyller ut skjema for endring av forskningsprosjekt - se på nettsidene til NSD/REK/Etisk komte. Ta kontakt med den/de aktuelle institusjonene dersom det er tvil om endringene i prosjektet krever søknad.


    Brudd på personvern

    Varsle om avvik - personvern og datasikkerhet

    Send varsling til sikkerhetsavvik@nih.no. Beskriv hendelsen/hva som har skjedd.

    Institusjonen/NIH skal rapportere brudd på personopplysningssikkerheten til Datatilsynet innen 72 timer.

    Eksempler avvik personvern

    • personlige opplysninger, passord eller lignende kommer i feil hender som følge av «phishing» eller falske nettverk.   
    • feilsendt e-post og vedlegg, særlig der det er personopplysninger 
    • innsamling av data i skjema som gjør informasjonen søkbar på internett, eller i skjemaverktøy der NIH ikke har databehandleravtale  
    • feilutlevering eller feilpublisering av informasjon
    • feil i tilganger, utstyr eller programvare som gjør at informasjonens tilgjengelighet er svekket, og som igjen kan svekke sikkerheten 
    • rutiner som mangler, ikke fungerer, eller som ikke følges 
    • informasjon med klassifiseringsnivå som krever tilgangsstyring er åpen og tilgjengelige for uvedkommende
    • manglende grunnlag eller vurdering av grunnlag for å behandle personopplysninger 
    • fødselsnummer som er sendt ukryptert per e-post  til eksterne


    Avslutning, sluttmeldinger og arkivering

    I avslutningsfasen skal innsamlede personopplysninger slettes, anonymiseres eller lagres for videre oppbevaring. NIH har bestemt at data fra forskningsprosjekt skal lagres i 5 år for mulig ettersyn og kontroll. Data for masterprosjekt skal av samme grunn lagres til eksamen er godkjent.

    Avslutning - personopplysninger

    Forsker skal

    • sørge for at alle personopplysninger om respondenter eller informanter som ikke skal oppbevares etter prosjektslutt blir forsvarlig slettet.
    • sørge for at personopplysninger som skal oppbevares etter prosjektslutt blir anonymisert, for eksempel ved at koblingsnøkkel for avidentifiserte opplysninger destrueres
    • sørge for at personopplysninger som skal tas vare på etter prosjektslutt blir forsvarlig oppbevart.

    Sluttmeldinger

    Forsker skal

    • sende sluttmelding til NSD og eventuelt til REK.
    • oppdatere Prosjektweb 

    Arkivering forskningsdata

    Arkivering av data må ikke forveksles med lagring av data som er i bruk i løpet av prosjektperioden. 

    NIH stiller krav om at data fra forskningsprosjekt skal oppbevares i fem år etter prosjektslutt (for kontroll og etterprøvbarhet.) Kravet gjelder ikke for masterprosjekter.  Etter påbudt lagringstid skal prosjektleder sørge for at personopplysninger blir anonymisert eller slettet.

    Fullstendig anonymisering kan være utfordrende og ressurskrevende å gjennomføre i praksis og gjenbruksverdien av datasettet vil som regel begrenses.

    Hvis forskningsdeltakerne har samtykket til at indirekte identifiserende data kan arkiveres og deles under visse forutsetninger.