Jeg er masterstudent

Masterstudenter har ikke prosjektlederansvar men har ansvar for personvernet til deltakerne i sitt forskningsprosjekt

    Veileder har ansvar for forskningsprosjektet, men som masterstudent har du ansvar for ulike arbeidsoppgaver knyttet til gjennomføringen.

    Ansvar masterstudent - presisering

    • sette seg inn og følge retningslinjer som gjelder for behandling av personopplysninger i forskning ved NIH
    • sette seg inn og følge rutiner for forskning og etikk
    • søke bistand hos veileder dersom det oppstår tvil om hvilke retningslinjer som gjelder eller hvordan de skal forstås/praktiseres.
    • sørge for at veileder kvalitetssjekker melding til NSD/søknader til REK og Etisk komité før disse blir sendt.
    • dele meldeskjema med veileder
    • følge vilkår fra NSD, REK og Etisk komité

    I henhold til veiledningsavtale:

    Ulike typer personinformasjon må sikres på ulike måter. Hvilke og hva slags personinformasjon som planlegges innhentet har også betydning for hvilke godkjenninger som må hentes inn før prosjektstart. 

    Se egne kurs hos NSD: Meldeskjema, hva er personopplysninger

    Tilsvarende henvisning som for Forsker

    Godkjenninger før oppstart

    Melding til NSD

    Alle forskningsprosjekt som inkluderer personopplysninger eller forskning på humant biologisk materiale skal meldes til NSD. NSD gir sin vurdering av hvorvidt personvernet er ivaretatt i prosjektet, ansvaret ligger fortsatt hos forsker/NIH.

    Som student kan du etter avklaring med veileder selv melde prosjektet til NSD ("MinSide"). Husk å dele meldeskjema med veileder på NIH. Du kan stille spørsmål via egen chattefunksjon. 

    Vedlegg til meldeskjema NSD

    • Spørreskjema
    • Intervjuguide
    • Samtykkeerklæring
    • Prosjektbeskrivelse

    Dersom meldeskjema sendes inn før andre vedtak foreligger (eksempelvis godkjenning fra REK eller fra etisk komite), skal kopi av disse ettersendes

    Helseforskningsprosjekt - REK

    Alle forskningsprosjekter som faller innenfor helseforskningsloven skal sendes til Regional komite for medisinsk og helsefaglig forskningsetikk (REK) for forhåndsgodkjenning. 

    Gå til REKs hjemmeside for mer informasjon om hvilke prosjekt som skal søke og hvordan. 

    Veileder skal ha kvalitetssjekket søknad til REK før den blir sendt.

    Ved legemiddelutprøving eller klinisk utprøving av medisinsk utstyr må du søke til Statens Legemiddelverk og Helsedirektoratet.

    Etiske vurderinger

    Etisk komite ved NIH vurderer om forskningsprosjekt på mennesker er planlagt i henhold til forskningsetiske normer.

    Kriterier for søknad til NIHs etiske komite

    Forskningsprosjekt skal ha godkjenning fra NIHs etiske komité dersom forskningsprosjektet:

    • Involverer mennesker direkte i form av intervensjoner (psykisk og/eller fysisk);
    • Har betydelig potensial for skade og belastning utover hva som kan regnes som normal risiko og belastning for deltaker;
    • Ikke er fremleggelsespliktig for REK - faller utenfor helseforskningslovens virkeområde.

    Forskningsprosjekt som involverer sårbare grupper, herunder barn og unge under 16 år, skal alltid godkjennes av NIHs etiske komité - med mindre det omfattes av helseforskningslovens virkeområde.

    Det samme gjelder for forskningsprosjekt med innsamling av humant biologisk materiale. 

    Se utfyllende informasjon om Etisk komite ved NIH. 

    Veileder skal kvalitetssjekke søknad til Etisk komite før den sendes inn.

    Se også De nasjonale forskningsetiske komtiteenes forskningsetiske retningslinjer for ulike fagfelt.

    Registrering i Prosjektweb

    Alle forskningsprosjekt som gjennomføres av NIH-ansatte skal registreres i Prosjektweb. For masterprosjekt skal veileder registrere og gi studenten tilgang. Studentens @nih-epost må brukes til dette.

    Prosjektweb er tilgjengelig via Innersvingen. Dersom det innhentes personopplysninger, velg prosjekttype "forskning på mennesker ekstern finansiert" eller "forskning på mennesker internt finansiert".  I Prosjektweb får du tilgang på sjekklister/huskelister for prosjektadministrasjon. Ved å laste opp prosjektdokumenter som avtaler, budsjett og rapporteringer oppfyller du også arkiveringsplikten (automatisk overføring til P360). 


    Behandlingsgrunnlag

    Du må være sikker på at det foreligger et lovlig grunnlag for behandling av personopplysninger. Det vanligste grunnlaget for forskning er samtykke fra deltakerne men andre grunnlag kan være aktuelle.

    Samtykke som grunnlag

    Samtykket fra deltakerne skal være informert og frivillig. Du har ansvar for at de forstår hva de sier ja til å delta i. Husk at informasjon må tilpasses hver enkelt deltakergruppe. Eksempelvis kan forskning på ungdom kreve eget informasjonsskriv til deltakerne som er fylt 16 og et annet skriv til foreldrene til deltakerne som er yngre. Dersom forskningsprosjektet skal behandle særlige kategorier (sensitive) personopplysninger, må samtykket være uttrykkelig.

    På NSDs sider finner du mer informasjon om samtykke og maler for informasjonsskriv.

    For forskning på anonymisert humant biologisk materiale og personopplysninger kreves det ikke samtykke, men generell informasjonsplikt.

    Bredt samtykke

    I enkelte tilfeller er det mulighet til å innhente et bredt samtykke hvor deltakerne samtykker til flere forskjellige forskningsprosjekter. Deltakeren må informeres om hva det innebærer å gi bredt samtykke. Dette forutsetter at de hører inn under samme definerte forskningsmål. REK kan sette vilkår for bruk av bredt samtykke. 

    Deltakere uten samtykkekompetanse

    Forskning som inkluderer mindreårige og personer uten samtykkekompetanse kan bare finne sted dersom:

    • Eventuell risiko eller ulempe for personen er ubetydelig
    • Personen selv ikke motsetter seg det.
    • Det er grunn til å anta at resultatene av forskningen kan være til nytte for den aktuelle personen eller for andre personer med samme aldersspesifikke lidelse, sykdom, skade eller tilstand.

    For mindreårige kreves det at tilsvarende forskning ikke kan gjennomføres på personer som ikke er mindreårige.

    Barn og ungdommer kan som hovedregel selv samtykke til deltakelse i forskning når de er fylt 15 år. For barn under denne alderen bør foreldre samtykke på vegne av barnet. Hvis det skal samles inn særlige kategorier av personopplysninger må ungdommen være fylt 16 år for å samtykke.

    Foreldre eller andre med foreldreansvar må samtykke dersom forskningsdeltakeren er under 16 år. Det samme gjelder hvis deltakeren er mellom 16 og 18 år og forskningen innebærer legemsinngrep eller legemiddelutprøving. Det må utarbeides alderstilpassede informasjonsskriv som tar hensyn til den mindreåriges modenhet og erfaring og informasjonsskriv til den som samtykker på vegne av deltakeren. 

    Deltagelse i forskning skal alltid være frivillig, uavhengig av hvem som har samtykkekompetanse .

    For medisinsk og helsefaglig forskning finnes det en egen forskrift som bestemmer at barn mellom 12 og 16 år selv kan samtykke til behandling av personopplysninger til visse typer forskning - se henvisning.

    Se mer om samtykke fra mindreårige hos Datatilsynet og hos NSD.

    For personer uten samtykkekompetanse på grunn av helsetilstand, psykisk utviklingshemming eller umyndiggjøring, kreves det at det ikke er grunn til å tro at vedkommende ville motsatt seg deltakelse i forskningsprosjekter hvis vedkommende hadde hatt samtykkekompetanse, og at tilsvarende forskning ikke kan gjennomføres på personer med samtykkekompetanse. Særlige regler gjelder for hvem som må gi samtykke, se helseforskningsloven § 17 og 18.

    Unntak fra samtykke

    Fravikelse fra samtykke skal begrunnes særskilt godt. Se nærmere for forutsetningene.

    Andre grunnlag

    I noen tilfelle kan det av ulike grunner være vanskelig å innhente et gyldig samtykke fra utvalget, eller samtykke innebærer en uforholdsmessig innsamling av personopplysninger. I slike tilfelle kan forsker argumentere for at allmenn interesse er rettslig grunnlag. Et eksempel kan være registerforskning. Både for alminnelige eller særlige kategorier av personopplysninger må også ha hjemmel i lov. Ofte er det personopplysningslovens §§ 8 og 9 som er aktuelle. Det må gjøre en interesseavveining mellom samfunnets interesser i forskningen og de ulempene behandllingen medfører for den enkelte.

    For andre grunnlag - se 

     

    Deling av data - tilganger for eksterne

    Overføring eller deling

    Dersom identifiserbare persondata skal overføres til eller lagres ved en samarbeidsinstitusjon må det inngås en databehandleravtale.   For avtalen er det viktig å vite hvem som er databehandlingsansvarlig (som bestemmer formålet med behandlingen) og hvem som behandler data på vegne av den ansvarlige. Datatilsynet har en egen veiledning om dette tema. 

    IT-ansvarlig skal underskrive databehandleravtaler, men prosjektleder har ansvar for å utarbeide forslag til avtale. Se mal.

    Prosjektleder kan gi eksterne forskere tilgang til data som er lagret i sikker sone, uten å måtte inngå databehandleravtale.

    Den virksomheten eller forskerne/studentene eller medarbeiderne du skal dele opplysninger med må være omtalt i meldeskjema til NSD og eventuelt i søknad til REK.

    Avtale om overføring av fysisk materiale (MTA, aktuelt ved eksempelvis blodprøver eller biopsier), kan underskrives av instituttleder. Se mal.

     

     

     

    Tilgang ikke-ansatte

    Dersom prosjektmedarbeidere ikke er tilsatt ved NIH og skal ha tilgang til personopplysninger må det inngås egen avtale. Se taushetserklæring for prosjektmedarbeidere  . Det er ikke nødvendig med taushetserklæring dersom det er samarbeid med en statlig virksomhet. Masterstudenter signerer taushetserklæringen i forbindelse med veiledningsavtalen for sitt prosjekt.

    Skal eksternt ansatte ha tilgang til NIHs IT-system, skal det utarbeides egen tilgangsavtale.  

    Prosjektleder kan gi eksterne forskere tilgang til forskningsdata som ligger lagret i NIHs Sikre sone. Da trengs det ingen databehandleravtale. Se mer om Sikker sone i Lagringsguiden.

     

    Gjennomføring - innsamling og lagring av data

    Først når alle godkjenninger foreligger - inklusiv bekreftelser fra deltakerne - kan selve innsamlingen starte. All innsamling skal foretas på NIH-oppsatt utstyr og data skal så raskt som mulig overføres til sikker lagringsmetode.

    Det er eget regelverk for personopplysninger i studentprosjekter - henvisning.

    Veileder skal oppbevare studentens koblingsnøkkel på et sikkert sted. 

    Intervju - diktafon og bruk av Zoom

    Zoom kan benyttes til intervjuer med eller uten bilde, så lenge disse ikke inneholder særlige kategorier personopplysninger. Zoom kan ikke benyttes utenfor NIH. 

    Se fullstendig rutinebeskrivelse for Zoom

    Diktafon kan lånes i Servicetorget. 

    Opptak skal transkriberes så raskt som mulig og personidentifiserende opplysninger fjernes. Lydfiler må oppbevares på sikker måte.

    Spørreundersøkelser

    Som hovedregel skal SurveyXact benyttes i forbindelse med elektroniske spørreskjema. Det er ikke anledning til å benytte et annet system uten å innhente godkjenning fra leder for IT.  Forskere og studenter kan logge seg inn med Feide-id.

    Undersøkelser i SurveyXact kan gjøres anonyme så snart utkast til spørreskjema er laget. Dette må gjøres før noen deltakere er lagt til. (Se fane Avansert/anonym undersøkelse i Spørreskjema.)

     

    Oppfølging personvern deltakere

    Enhver som har samtykket til deltakelse i et forskningsprosjekt kan som hovedregel kreve innsyn, retting av uriktig registrerte opplysninger, trekke seg fra videre deltakelse uten begrunnelse/tilbakekalle avgitt samtykke. Krav om innsyn skal besvares innen 30 dager.
     

    Eksempler oppfølging

    • Besvare henvendelser fra forskningsdeltakere 
    • Sørge for forsvarlig sletting eller anonymisering av forskningsdata dersom informanter trekker sitt samtykke
    • Be respondenter om nytt samtykke dersom innsamlede opplysninger skal behandles til andre formål eller på andre måter, for eksempel lagres lengre enn hva de opprinnelig har samtykket til. 
    • Kontrollere at personopplysninger som behandles i prosjektet ikke anvendes til andre formål enn det deltakerne har samtykket til.
    • Kontrollere at avtaler med samarbeidspartnere overholdes

     

    Endringsmeldinger 

    Ved vesentlige endringer i prosjektet må du sende endringsmelding til de samme institusjonene som opprinnelig har gitt godkjenning. Veileder skal kvalitetssjekke endringsmeldinger til REK og Etisk komite.

    Eksempler på prosjektendring

    • Endring i design og analyse
    • Ny kunnskap om risiko, ulempe eller nytte for forskningsdeltakerne
    • Endring av prosjektleder, forskningsansvarlig, forskningsbiobank eller prosjektmedarbeider.
    • Utsettelse eller forlengelse av prosjektperiode
    • Økning i antall forskningsdeltakere
    • Endring i rekrutteringsprosedyre
    • Endring i inklusjons og eksklusjonskriterier
    • Innholdsmessig endring av informasjonsskriv og forespørsel om deltakelse
    • Endring i gitte vilkår for dispensasjon fra taushetsplikt
    • Endring i hvem som har tilgang til personsensitive opplysninger
    • Endring av oppbevaring og behandling av helseopplysninger eller biologisk materiale.

    Prosjektleder fyller ut skjema for endring av forskningsprosjekt - se på nettsidene til NSD/REK/Etisk komte. Ta kontakt med den/de aktuelle institusjonene dersom det er tvil om endringene i prosjektet krever søknad.


    Melde avvik

    Varsle om avvik - personvern og datasikkerhet

    Send varsling til sikkerhetsavvik@nih.no. Beskriv hendelsen/hva som har skjedd.

    Institusjonen/NIH skal rapportere brudd på personopplysningssikkerheten til Datatilsynet innen 72 timer.

    Eksempler avvik personvern

    • personlige opplysninger, passord eller lignende kommer i feil hender som følge av «phishing» eller falske nettverk.   
    • feilsendt e-post og vedlegg, særlig der det er personopplysninger 
    • innsamling av data i skjema som gjør informasjonen søkbar på internett, eller i skjemaverktøy der NIH ikke har databehandleravtale  
    • feilutlevering eller feilpublisering av informasjon
    • feil i tilganger, utstyr eller programvare som gjør at informasjonens tilgjengelighet er svekket, og som igjen kan svekke sikkerheten 
    • rutiner som mangler, ikke fungerer, eller som ikke følges 
    • informasjon med klassifiseringsnivå som krever tilgangsstyring er åpen og tilgjengelige for uvedkommende
    • manglende grunnlag eller vurdering av grunnlag for å behandle personopplysninger 
    • fødselsnummer som er sendt ukryptert per e-post  til eksterne

     

    Avslutning 

    I avslutningsfasen skal innsamlede personopplysninger slettes, anonymiseres eller lagres for videre oppbevaring. NIH har bestemt at data fra forskningsprosjekt skal lagres i 5 år for mulig ettersyn og kontroll. Kravet gjelder ikke for masterprosjekter.

    Avslutning - personopplysninger

    Forsker skal

    • sørge for at alle personopplysninger om respondenter eller informanter som ikke skal oppbevares etter prosjektslutt blir forsvarlig slettet.
    • sørge for at personopplysninger som skal oppbevares etter prosjektslutt blir anonymisert, for eksempel ved at koblingsnøkkel for avidentifiserte opplysninger destrueres
    • sørge for at personopplysninger som skal tas vare på etter prosjektslutt blir forsvarlig oppbevart.

    Sluttmeldinger

    Forsker skal

    • sende sluttmelding til NSD og eventuelt til REK.
    • oppdatere Prosjektweb