Jeg er forsker eller stipendiat

Forsker har ansvar for at prosjektet gjennomføres i henhold til lover og regler på personvernområdet. En forsker som er prosjektleder har ansvar for at alle som arbeider på prosjektet har tilstrekkelig kunnskap om personvern. Stipendiater skal forholde seg til særskilte regler.

    Forsker/prosjektleder har ansvar for at alle deler av persondatabehandling foregår på en trygg måte. Ulike typer personinformasjon må sikres på ulike måter. 

    Stipendiater - personvern i forskningsprosjekt

    Stipendiater har per definisjon ikke forskerkompetanse. Veileder har dermed det formelle ansvaret for stipendiatens forskningsprosjekt.

    Stipendiat har et eget ansvar for å sette seg inn i og følge regler og rutiner for personvern og informasjonssikkerhet i sitt forskningsprosjekt.

    Stipendiat kan selv melde inn sitt prosjekt til NSD for vurdering av personvern og informasjonssikkerhet i prosjektet. Melding til NSD og eventuelle vedlegg, inklusiv eventuelle søknader til REK og NIHs Etiske komité skal kvalitetssjekkes av veileder. 

    Av praktiske hensyn kan stipendiat selv registrere sitt prosjekt i Prosjektweb/stå som prosjektleder i dette systemet. Veileder og stipendiat må sammen avklare hvem som sørger for arkivering av avtaler og andre arkivverdige prosjektdokument. 

    Ansvaret som veileder

    Ansvaret/oppgavene spesifisert her er begrenset til området personvern og informasjonssikkerhet og omfatter ikke alle oppgaver en veileder har overfor stipendiat eller masterstudent.

    Ansvar veileder for masterstudent

    Veileders ansvar:

    Veileder skal påse at masterstudenten har tilstrekkelig kunnskap om rutiner og regler.  Veileder har ansvar for at vilkår for godkjenninger følges og skal påse at data samles inn og lagres i henhold til regelverk.

    Spesifisering oppgaver - veileder skal:

    • Kvalitetssjekke meldinger/søknader til NSD, REK og Etisk komité  før de sendes inn
    • Sjekke om masteroppgave må klausuleres for kortere eller lengre periode
    • Oppbevare koblingsnøkkel og slette denne i henhold til vilkår fra NSD. Som hovedregel kan ikke koblingsnøkkel slettes før sensur foreligger
    • Sende sluttmelding til NSD når koblingsnøkkel er slettet

    Veilder skal også påse at prosjektet registreres i Prosjektweb dersom prosjektet omfatter personopplysninger eller arkivhensyn tilsier det. Masterstudenten kan eventuelt legges til som prosjektmedlem i Prosjektweb (må bruke studentens @student.nih.no-epost).

    Ansvar veileder for stipendiat

    Veileders ansvar:

    Veileder skal påse at stipendiaten har tilstrekkelig kunnskap om rutiner og regler.  Veileder har ansvar for at vilkår for godkjenninger følges og skal påse at data samles inn og lagres i henhold til regelverk.

    Spesifisering oppgaver - veileder skal:

    • Kvalitetssjekke meldinger/søknader til NSD, REK og Etisk komité  før de sendes inn.
    • Ha kontakt med personvernombud dersom dette er relevant - eksempelvis ved behov for å utarbeide en Data Processing Impact Assessment (DPIA).

    Veilder skal også påse at prosjektet registreres i Prosjektweb dersom prosjektet omfatter personopplysninger eller arkivhensyn tilsier det. Veileder må avklare med stipendiat hvem som står for arkivering av prosjektdokumenter via Prosjektweb.

    Godkjenninger og vurderinger før oppstart

    NIH forventer at forskere avklarer med instituttleder før arbeidet starter og før det søkes andre godkjenninger. For stipendiat- og masterprosjekt skal veileder sørge for slik avklaring.

    Hva slags informasjon som planlegges innhentet har også betydning for hvilke godkjenninger som må hentes inn før prosjektstart. Alle prosjekter med personopplysninger skal meldes NSD. For prosjekter som faller innenfor helseforskningsloven/skal søke REK om godkjenning eller som trenger forhåndsgodkjenning fra NIHs etiske komite, se lenker nedenfor.

    Melding til NSD

    NSD gir sin vurdering av hvorvidt personvernet er ivaretatt i prosjektet.  Ansvaret ligger fortsatt hos forsker/NIH. Meld prosjektet via nsd.no/MinSide.

    Om meldeskjema NSD

    Se utfyllende informasjon fra NSD om meldeskjema.

    Viktige dokument som må legges ved for vurdering:

    • Spørreskjema
    • Intervjuguide
    • Samtykkeerklæring
    • Prosjektbeskrivelse

    Dersom meldeskjema sendes inn før andre vedtak foreligger (eksempelvis godkjenning fra REK eller fra etisk komite), skal kopi av disse ettersendes

    I informasjonsskriv skal personvernombud ved NIH oppgis: Rolf Haavik, epost personvernombud@nih.no.

    Registrering i Prosjektweb

    Alle forskningsprosjekt som gjennomføres av NIH-ansatte skal registreres i Prosjektweb. Prosjektweb er tilgjengelig via Innersvingen. Dersom det innhentes personopplysninger, velg prosjekttype "forskning på mennesker ekstern finansiert" eller "forskning på mennesker internt finansiert".  I Prosjektweb får prosjektleder og prosjektmedlemmer tilgang på sjekklister/huskelister for prosjektadministrasjon. Ved å laste opp prosjektdokumenter som avtaler, budsjett og rapporteringer oppfyller du også arkiveringsplikten (automatisk overføring til P360). Se veiledere på Innersvingen/Nyttig/Forskningsstøtte.

    Prosjektweb er bare tilgjengelig for ansatte og studenter ved NIH via @nih.no-mail.

    Godkjenning fra REK

    Etisk vurdering

    Behandlingsgrunnlag

    Prosjektleder har ansvar for at det foreligger et lovlig grunnlag for behandling av personopplysninger. Det vanligste grunnlaget for forskning er samtykke fra deltakerne men andre grunnlag kan være aktuelle. Ved særskilte kategorier personopplysninger ("sensitive data") kreves uttrykkelig samtykke, som regel signatur. 

    Les mer om behandlingsgrunnlag på side om rutiner 


    Innsamling av data 

    Først når alle godkjenninger foreligger - inklusiv bekreftelser fra deltakerne - kan selve innsamlingen starte. Prosjektleder har ansvar for data som samles inn og behandles. Personopplysninger skal ikke lagres lenger enn det som er nødvendig for formålet de ble innhentet for. 

    Les mer om innsamling på side om rutiner.


    Lagring - klassifisering av data

    Prosjektleder har ansvar for at datamateriale er forsvarlig sikret underveis og må vurdere hvordan de lagres. Sikringsnivået vil avhenge av hva slags persondata som behandles - med strengest krav for data i kategori sort og rød.

    Informasjon om hvordan data skal lagres må være omtalt i meldeskjema til NSD og eventuelt i søknad til REK.

    Les mer om lagring og klassifisering på side om rutiner


    Tilgang, overføring eller deling

    Prosjektleder må også vurdere hvem som skal ha tilgang til aktive forskningsdata.

    Virksomheten/forskerne/studentene eller medarbeiderne som skal  ha tilgang til persondata må være omtalt i meldeskjema til NSD og eventuelt i søknad til REK. Forskningsdeltakerne må også være informert om og ha samtykket til slik deling av personinformasjon.

    Les mer om tilgang og deling på side om rutiner


    Oppfølging deltakeres personvern

    Enhver som har samtykket til deltakelse i et forskningsprosjekt kan som hovedregel kreve innsyn, retting av uriktig registrerte opplysninger, trekke seg fra videre deltakelse uten begrunnelse/tilbakekalle avgitt samtykke. Krav om innsyn skal besvares innen 30 dager.

    Eksempler oppfølging

    • Besvare henvendelser fra forskningsdeltakere 
    • Sørge for forsvarlig sletting eller anonymisering av forskningsdata dersom informanter trekker sitt samtykke
    • Be respondenter om nytt samtykke dersom innsamlede opplysninger skal behandles til andre formål eller på andre måter, for eksempel lagres lengre enn hva de opprinnelig har samtykket til. 
    • Kontrollere at personopplysninger som behandles i prosjektet ikke anvendes til andre formål enn det deltakerne har samtykket til.
    • Kontrollere at avtaler med samarbeidspartnere overholdes


    Endringsmeldinger 

    Ved vesentlige endringer i prosjektet må forsker/prosjektleder sende endringsmelding til de samme institusjonene som opprinnelig har gitt godkjenning. Det kan også være nødvendig å innhente nytt samtykke fra deltakerne.

    Eksempler på prosjektendring

    • Endring i design og analyse
    • Ny kunnskap om risiko, ulempe eller nytte for forskningsdeltakerne
    • Endring av prosjektleder, forskningsansvarlig, forskningsbiobank eller prosjektmedarbeider.
    • Utsettelse eller forlengelse av prosjektperiode
    • Økning i antall forskningsdeltakere
    • Endring i rekrutteringsprosedyre
    • Endring i inklusjons og eksklusjonskriterier
    • Innholdsmessig endring av informasjonsskriv og forespørsel om deltakelse
    • Endring i gitte vilkår for dispensasjon fra taushetsplikt
    • Endring i hvem som har tilgang til personsensitive opplysninger
    • Endring av oppbevaring og behandling av helseopplysninger eller biologisk materiale.

    Prosjektleder fyller ut skjema for endring av forskningsprosjekt - se på nettsidene til NSD/REK/Etisk komte. Ta kontakt med den/de aktuelle institusjonene dersom det er tvil om endringene i prosjektet krever søknad.


    Brudd på personvern

    Varsle om avvik - personvern og datasikkerhet

    Send varsling til sikkerhetsavvik@nih.no. Beskriv hendelsen/hva som har skjedd.

    Institusjonen/NIH skal rapportere brudd på personopplysningssikkerheten til Datatilsynet innen 72 timer.

    Eksempler avvik personvern

    • personlige opplysninger, passord eller lignende kommer i feil hender som følge av «phishing» eller falske nettverk.   
    • feilsendt e-post og vedlegg, særlig der det er personopplysninger 
    • innsamling av data i skjema som gjør informasjonen søkbar på internett, eller i skjemaverktøy der NIH ikke har databehandleravtale  
    • feilutlevering eller feilpublisering av informasjon
    • feil i tilganger, utstyr eller programvare som gjør at informasjonens tilgjengelighet er svekket, og som igjen kan svekke sikkerheten 
    • rutiner som mangler, ikke fungerer, eller som ikke følges 
    • informasjon med klassifiseringsnivå som krever tilgangsstyring er åpen og tilgjengelige for uvedkommende
    • manglende grunnlag eller vurdering av grunnlag for å behandle personopplysninger 
    • fødselsnummer som er sendt ukryptert per e-post  til eksterne


    Avslutning, sluttmeldinger og arkivering

    I avslutningsfasen skal innsamlede personopplysninger slettes, anonymiseres eller lagres for videre oppbevaring. NIH har bestemt at data fra forskningsprosjekt skal lagres i 5 år for mulig ettersyn og kontroll. Data for masterprosjekt skal av samme grunn lagres til eksamen er godkjent.

    Avslutning - personopplysninger

    Forsker skal

    • sørge for at alle personopplysninger om respondenter eller informanter som ikke skal oppbevares etter prosjektslutt blir forsvarlig slettet.
    • sørge for at personopplysninger som skal oppbevares etter prosjektslutt blir anonymisert, for eksempel ved at koblingsnøkkel for avidentifiserte opplysninger destrueres
    • sørge for at personopplysninger som skal tas vare på etter prosjektslutt blir forsvarlig oppbevart.

    Sluttmeldinger

    Forsker skal

    • sende sluttmelding til NSD og eventuelt til REK.
    • oppdatere Prosjektweb 

    Arkivering forskningsdata

    Arkivering av data må ikke forveksles med lagring av data som er i bruk i løpet av prosjektperioden. 

    NIH stiller krav om at data fra forskningsprosjekt skal oppbevares i fem år etter prosjektslutt (for kontroll og etterprøvbarhet.) Kravet gjelder ikke for masterprosjekter.  Etter påbudt lagringstid skal prosjektleder sørge for at personopplysninger blir anonymisert eller slettet.

    Fullstendig anonymisering kan være utfordrende og ressurskrevende å gjennomføre i praksis og gjenbruksverdien av datasettet vil som regel begrenses.

    Hvis forskningsdeltakerne har samtykket til at indirekte identifiserende data kan arkiveres og deles under visse forutsetninger.