Personvern og rutiner NIH

Personvern handler om at hver og en av oss skal få bestemme over alle opplysningene om oss selv. Vi har en grunnleggende rett til å ha privatlivet i fred, og til å ha innflytelse på bruken og spredningen av opplysninger om oss. Det stilles derfor også strenge krav til forskeres bruk av personinformasjon.

    Ansvar

    Administrerende direktør er forskningsansvarlig ved NIH. Dette inkluderer ansvar for at NIH har utarbeidet retningslinjer for datasikkerhet og personvern i forskningen, og ansvar for å etablere IT-løsninger for sikker behandling av forskningsdata.

    Forsvarlig gjennomføring av forskningsprosjekt er et linjeansvar - oppgavene er delegert til faginstituttene.

    Ansvar instituttnivå

    Oppfølging forskningsansvar på instituttnivå

    Instituttleder er delegert ansvar fra administrerende direktør for oppfølging av prosjekter. Instituttledere har ansvar for at medarbeidere, samt eksterne forskere som arbeider på instituttet, er gjort kjent med dette dokument.

    Instituttledere har også ansvar å følge opp og kontrollere at medarbeidere, eksterne forskere og studenter lever opp til NIHs retningslinjer for datasikkerhet og personvern. 

    Ved permisjon/avslutning av arbeidsforhold skal instituttleder påse at alle forskningsdata er lagret i henhold til retningslinjene og at alle nødvendige endringsmeldinger er sendt til eksterne partnere. 

    Ansvar forskningsprosjektnivå

    Prosjektleder har ansvar for at forskningsetiske normer og personvernregler følges i prosjektet. Veileder har prosjektlederansvar for prosjekt gjennomført av stipendiat eller masterstudent.

    Veiledere har ansvar for at har ph.d.-, master- og bachelorstudenter er gjort kjent med dette dokumentet.

    Ved permisjon/avslutning av studie-/arbeidsforhold skal veileder påse at alle forskningsdata er lagret i henhold til retningslinjer og at alle nødvendige endringsmeldinger er sendt eksterne partnere. 

    Hver enkelt forskningsmedarbeider og student har et selvstendig ansvar for å sette seg inn i og følge rutinene som beskrives i dette dokumentet.

    Hva er personopplysninger -

    Personopplysninger er informasjon som gjør det mulig å identifisere en fysisk person. Identifiseringen kan gjøres direkte eller indirekte. Opplysningene eies av den enkelte. Vurderinger eller opplysninger regnes som personopplysninger uavhengig av om de foreligger som tekst, bilder, lyd- eller videoopptak.

    Eksempler personopplysninger

    Eksempler på personopplysninger kan være:

    • navn, adresse, alder, telefonnummer, e-postadresse og fødselsnummer
    • innholdet i eksamensbesvarelser, bachelor- eller masteroppgaver og kandidatenes karakterer
    • innhold i saksdokumenter, utredninger eller vurderinger som omhandler ansatte eller studenter
    • innholdet i e-postkommunikasjon mellom ansatte og studenter eller mellom to eller flere studenter
    • video- og lydopptak som gjøres ved bruk av overvåkningskamera og hvor enkeltpersoner kan gjenkjennes
    • bilder av ansatte eller studenter som publiseres på hjemmesiden
    • logging av aktivitet i datasystemer hvor loggene kan knyttes til bestemte ansatte eller studenter, for eksempel registrering av hvem som til enhver tid er pålogget ulike datasystemer

    Hva er alminnelige personopplysninger

    Med alminnelige personopplysninger menes alle typer vurderinger og opplysninger som kan knyttes til en identifisert eller identifiserbar fysisk person, men som personvernforordningen ikke definerer som særlige kategorier av personopplysninger (sensitive personopplysninger).

    Merk at fødselsnummer ikke regnes som en særlig kategori av personopplysninger (sensitiv personopplysning). Siden fødselsnummer ofte anvendes for å identifisere enkeltpersoner, inneholder personopplysningsloven likevel spesielle vilkår slik at fødselsnummer bare kan brukes når:

    • det er saklig behov for sikker identifisering av enkeltpersoner
    • sikker identifisering ikke kan oppnås på andre måter, for eksempel ved bruk av ansatt- eller studentnummer

    Les mer om reglene for bruk av fødselsnummer på datatilsynet.no.

    Hva er særlige kategorier av personopplysninger

    Med særlige kategorier av personopplysninger, også kalt sensitive personopplysninger, menes vurderinger og opplysninger som kan knyttes til bestemte enkeltpersoner og som krever et særskilt vern. Spredning av disse opplysningene kan skape betydelig risiko for personer det gjelder. Kategoriene er hentet direkte fra personvernlovgivningen og omhandler:

    • helseopplysninger og helserelaterte forhold
    • genetiske og biometriske opplysninger med det formål å entydig identifisere en fysisk person
    • etnisk eller rasemessig opprinnelse
    • politiske, filosofiske eller religiøse oppfatninger og livssyn
    • seksuell orientering eller seksuelle forhold
    • fagforeningsmedlemskap

    Eksempler på sensitive personopplysninger er:

    • informasjon om studenters sykdom eller diagnoser
    • helseopplysninger registrert i forbindelse med ansattes sykefravær
    • informasjon om eksamensfusk eller forsøk på fusk
    • behov for tilrettelagt eksamen av helsemessige grunner
    • opplysninger om ansattes alkohol- eller rusmisbruk
    • opplysninger om fagforeningsaktivitet
    • informasjon om holdninger til ulike religiøse eller politiske spørsmål som respondenter i spørreundersøkelser bes om å oppgi.
    • Særlige kategorier av personopplysninger skal sikres ekstra godt mot brudd på informasjonssikkerheten.

    Direkte - indirekte - anonyme

    En person vil være direkte identifiserbar via navn, fødsels-/personnummer eller andre personentydige kjennetegn.

    En person vil være indirekte identifiserbar dersom det er mulig å identifisere vedkommende gjennom bakgrunnsopplysninger som for eksempel bostedskommune eller institusjonstilknytning kombinert med opplysninger om alder, kjønn, yrke, diagnose, etc.

    Anonyme opplysninger er informasjon som ikke på noe vis kan identifisere enkeltpersoner i et datamateriale, hverken direkte gjennom navn eller personnummer, indirekte gjennom bakgrunnsvariabler, eller gjennom navneliste/koblingsnøkkel eller krypteringsformel og kode.

    Anonymiserte opplysninger regnes ikke som personopplysninger. Reglene i personvernforordningen og personopplysningsloven med forskrift gjelder derfor ikke for behandling av slike opplysninger.

    Avidentifisering og anonymisering

    Opplysningene er avidentifisert (pseudonymiserte) dersom navn, personnummer eller andre personentydige kjennetegn er erstattet med et nummer, en kode, fiktive navn eller lignende, som viser til en atskilt liste/koblingsnøkkel med de direkte personopplysningene 

    For at datamaterialet skal regnes som avidentifisert, må også indirekte personidentifiserende opplysninger kategoriseres i vide kategorier eller fjernes helt. Med vide kategorier menes for eksempel landsdel i stedet for spesifiserte kommuner eller byer, aldersintervaller (10-19 år, 20-29 år osv.) i stedet for presis alder og lignende. Den eneste måten å identifisere enkeltpersoner i et avidentifisert datamateriale skal være gjennom navnelisten/koblingsnøkkelen.

    Koblingsnøkkel skal alltid oppbevares adskilt fra data. Avidentifiserte opplysninger anses likevel som personopplysninger sålenge koblingsnøkkel eksisteres.

    Anonymisering av data krever at koblingsnøkkel slettes.

    Bilde- og lydopptak må transkriberes for å pseudonymisere personopplysningene.

    Behandling av personopplysninger

    • Det skal defineres ett klart og begrenset formål for den konkrete behandlingen.
    • Riktighet - informasjonen må være korrekt, personen det gjelder (som eier informasjonen) må eventuelt kunne kreve korrigering
    • Dataminimering - ikke hent inn/spør om mer enn det som trengs til det eksplisitte formål
    • Langtidsbegrensing - data som ikke trengs lenger, bør slettes. (NB - etterleving av lover kan kreve at data beholdes - forsvarlig - i en lengre periode)

    Jo mer sensitive opplysningene er, jo strengere krav stilles til behandlingen.

    Med behandling av personopplysninger menes alle typer bruk av personopplysninger: innsamling, registrering, lagring, sammenstilling, bruk, overføring, publisering og sletting.

    Lagring forskningsdata

    • Datasett med personopplysninger skal så sant det er mulig pseudonymiseres. 
    • Pseudonymiserte datasett kan lagres på server med tilgangsstyring. 
    • Koblingsnøkkel skal oppbevares i låste skap på instituttet.

    Datasett som ikke er tilstrekkelig pseudonymisert  skal lagres i NIHs "Sikker sone".

    Se klassifiseringsoversikt og lagringsguide

     

    Varsle om avvik - personvern og datasikkerhet

    Send varsling til sikkerhetsavvik@nih.no. Beskriv hendelsen/hva som har skjedd.

    Institusjonen/NIH skal rapportere brudd på personopplysningssikkerheten til Datatilsynet innen 72 timer.

    Eksempler avvik personvern

    • personlige opplysninger, passord eller lignende kommer i feil hender som følge av «phishing» eller falske nettverk.   
    • feilsendt e-post og vedlegg, særlig der det er personopplysninger 
    • innsamling av data i skjema som gjør informasjonen søkbar på internett, eller i skjemaverktøy der NIH ikke har databehandleravtale  
    • feilutlevering eller feilpublisering av informasjon
    • feil i tilganger, utstyr eller programvare som gjør at informasjonens tilgjengelighet er svekket, og som igjen kan svekke sikkerheten 
    • rutiner som mangler, ikke fungerer, eller som ikke følges 
    • informasjon med klassifiseringsnivå som krever tilgangsstyring er åpen og tilgjengelige for uvedkommende
    • manglende grunnlag eller vurdering av grunnlag for å behandle personopplysninger 
    • fødselsnummer som er sendt ukryptert per e-post  til eksterne

    Prosjektstøtte - interne og eksterne system/partnere

    Prosjektweb

    Alle forskningsprosjekt som gjennomføres av NIH-ansatte skal registreres i Prosjektweb.  Prosjektweb er tilgjengelig via Innersvingen.

    For masterprosjekter må veileder registrere prosjektet og deretter legge til studenten som prosjektmedlem (@student.nih.no).

    Stipendiat og veileder kan avtale seg imellom hvem som skal stå som prosjektleder i Prosjektweb. Det er uansett veileder som har forskningsansvaret for prosjektet.

    I Prosjektweb får du tilgang på sjekklister/huskelister for prosjektadministrasjon. Ved å laste opp prosjektdokumenter som avtaler, budsjett og rapporteringer oppfyller du også arkiveringsplikten - dokumentene overføres direkte til P360. Se veiledere på Innersvingen/Nyttig/Forskningsstøtte.

    SIKT - NSD

    Alle forskningsprosjekt som inkluderer personopplysninger, skal meldes NSD for vurdering før igangsetting. Prosjektleder melder selv prosjektet via NSDs meldingsportal. For studentprosjekt skal studenten gi veileder tilgang til prosjektet/meldeskjema.

    Via meldingsportalen får forsker også tilgang til mal for informasjonsskriv til prosjektdeltakere og samtykkeskriv. Eventuelle endringer i prosjektet – inklusiv forsinkelse og forlengelse - skal meldes NSD.

    Selv om NSD gjør vurderinger av personvernrisiko for NIH, er det fortsatt NIH/prosjektleder som har ansvar for at prosjektgjennomføringen følger lover og regler på personvernområdet.

    I prosjekter med spesielle personvernutfordringer kan det måtte gjøres en utvidet vurdering (Data Protection Impact Assessment - DPIA). NSD kan gjennomføre DPIA i samråd med forsker og personvernombud ved NIH. 

    Se mer om rutiner for melding til NSD/NSDs tjenester her.

    Regionale etiske komiteer - REK

    REK vurderer forskningsetiske sider ved prosjekter som faller inn under Helseforskningslovens formålsparagraf. Slike prosjekter må ha forhåndsgodkjenning fra REK. Forskere som er i tvil om et prosjekt skal til REK, kan legge frem en såkalt fremleggelsesvurdering for å få avklart om prosjektet antas for vurdering av REK, eller ikke.  Ser mer om Helseforskningsloven og rutine for søknad til REK her.

    Etisk komité NIH

    Prosjekter som omfatter forskning på mennesker – og som enten innebærer en ikke ubetydelig risiko for forskningsdeltakerne og/eller forskning på sårbare grupper og/eller innsamling av biologisk materiale – men som ikke faller innenfor REKs mandat, skal ha en vurdering og forhåndsgodkjenning fra NIHs etiske komité.  

    Se fullstendige kriterier for hvilke prosjekt som skal godkjennes av NIHs etiske komité og hvordan søke.

    Personvernombud ved NIH

    Personvernombudet skal ivareta personverninteressene til både studenter og ansatte og styrke institusjonens evne til å etterleve regelverket. Personvernombud ved NIH er Rolf Haavik og kan nås via e-post: personvernombud@nih.no. Les mer om personvernombudets rolle her.

    NIH som behandlingsansvarlig

    Den behandlingsansvarliges personvernplikter

    I rollen som behandlingsansvarlig har NIH en rekke personvernplikter. Pliktene følger hovedsakelig av bestemmelsene i personvernforordningen og personopplysningsloven.

    NIH skal sørge for at:

    • elektronisk og manuell behandling av personopplysninger skjer på en lovlig og forsvarlig måte i tråd med personvernprinsippene
    • den enkelte sikres medbestemmelse over og kontroll med hvordan NIH behandler hans/hennes personopplysninger
    • NIH har etablert interne rutiner, retningslinjer og gjennomfører egnede tekniske og organisatoriske tiltak som ivaretar de personvernplikter NIH er pålagt.

    Les mer om personvernforordningen (lovdata.no).

    Den enkeltes personvernrettigheter

    Som behandlingsansvarlig er NIH pliktig til å ivareta personvernrettighetene til den som opplysningene gjelder, det vil si ansatte, studenter, gjesteforskere, gjester eller respondenter og informanter i forskningsprosjekter.

    Den enkeltes personvernrettigheter gjelder ved all elektronisk behandling av alminnelige og særlige kategorier av personopplysninger som skjer i forskning, undervisning, administrasjon og formidling ved NIH. Rettighetene gjelder også ved behandling av personopplysninger som inngår (eller er ment å inngå) i manuelle personregistre.

    Formålet med personvernrettighetene er at de som opplysningene gjelder skal ha medbestemmelse over og kontroll med hvordan NIH behandlinger deres personopplysninger.

    For å sikre at de registrerte har medbestemmelse over og kontroll med hvordan NIH behandler deres personopplysninger, har den enkelte på visse vilkår disse rettigheter:

    • rett til informasjon om behandlingsansvarlig, formålet med behandlingen av personopplysninger og eventuelle andre mottakere av personopplysningene
    • rett til innsyn
    • rett til retting/korrigering
    • rett til sletting
    • rett til begrensning av behandling
    • rett til dataportabilitet
    • rett til å protestere

    Elektroniske hjelpemidler - bruk og regler

    Personvernforordningen omfatter all behandling av personopplysninger, herunder hvor elektroniske hjelpemidler blir brukt.

    Med elektroniske hjelpemidler menes for eksempel:

    • datamaskiner
    • programvare
    • datanettverk
    • bærbare dataenheter (mobiltelefoner, nettbrett, pc, osv.)
    • elektronisk adgangskontroll
    • kameraovervåkningssystemer

    Elektroniske hjelpemidler omfatter også datasystemer som benyttes ved NIH, for eksempel FS, SAP / DFØ, P360 eller Canvas.

    I tillegg regnes nettbaserte ressurser, for eksempel hjemmesider, skytjenester eller pedagogiske nettjenester, som elektroniske hjelpemidler.

    Hvilke regler gjelder for innføring og drift av elektroniske kontrolltiltak?

    Elektroniske kontrolltiltak kan blant annet ha som formål å beskytte NIHs bygninger og verdier mot hærverk, ødeleggelse eller tyveri. Slike tiltak omfatter for eksempel bruk av kameraovervåkning og systemer for adgangskontroll hvor passeringsdata om studenter eller ansatte registreres og lagres.

    Elektroniske kontrolltiltak omfatter også, på visse vilkår, innsyn i ansatte eller studenters e-post, personlige lagringsområder, private datautstyr og internettbruk.

    Ved innføring av elektroniske kontrolltiltak ved NIH gjelder reglene i arbeidsmiljøloven kapittel 9. Reglene i arbeidsmiljøloven innebærer følgende:

    • Kontrolltiltak skal ikke innføres uten at det foreligger en saklig grunn for det.
    • Kontrolltiltak skal bare innføres dersom nytten av tiltaket klart overstiger den personvernulempen som det innebærer for ansatte, studenter, gjesteforskere og gjester.
    • Kontrolltiltak skal drøftes med representanter for ansatte og studenter før tiltakene innføres.
    • Det skal gis informasjon til ansatte og studenter om hvordan innførte kontrolltiltak er innrettet og fungerer.
    • Innførte kontrolltiltak skal jevnlig evalueres og behovet for å opprettholde tiltakene skal vurderes.

    Les mer om reglene i arbeidsmiljøloven som gjelder ved innføring av kontrolltiltak (arbeidstilsynet.no).

    Arbeidsmiljøloven har særlige regler om innsyn i ansattes e-post, personlige lagringsområder, private datautstyr og internettlogger (datatilsynet.no). Innsyn i studenters e-post, personlige lagringsområder, private datautstyr og internettlogger reguleres av personvernforordningen.

    Det er utnevnt system- eller tjenesteeiere for alle elektroniske kontrolltiltak som er innført ved NIH. System- eller tjenesteeierne er delegert ansvaret for at reglene om personvern og behandling av personopplysninger følges.

    I tillegg til å ivareta de særlige reglene i arbeidsmiljøloven og personvernforordningen om innføring og drift av elektroniske kontrolltiltak, har system- eller tjenesteeierne for elektroniske kontrolltiltak de samme pliktene som øvrige system- eller tjenesteeiere ved NIH.

    NIH som databehandleransvarlig

    Databehandlere er eksterne aktører (ofte kommersielle selskaper eller andre universiteter/høyskoler) som har fått i oppdrag å drifte et elektronisk system eller tjeneste på vegne av NIH.

    Eksterne aktører blir databehandlere for NIH når driften av elektroniske systemer eller tjenester innebærer at de får tilgang til personopplysninger som NIH er behandlingsansvarlig for.

    Som behandlingsansvarlig er NIH pliktig til å sørge for at det bare brukes databehandlere som gir tilstrekkelige garantier for at de vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i personvernforordningen når de behandler opplysninger om ansatte, studenter, gjesteforskere, gjester eller respondenter/informanter i forskningsprosjekter.

    Dette skal først skje ved at det gjennomføres risikovurderinger av informasjonssikkerheten i de eksterne systemene eller tjenestene som NIH vurderer å anvende. Dersom risikovurderingen viser at informasjonssikkerheten er tilfredsstillende, skal det inngås skriftlige avtaler (databehandleravtaler) med databehandlerne. 

    Databehandleravtale

    Databehandleravtaler skal regulere

    • gjenstanden for og varigheten av behandlingen
    • behandlingens art og formål
    • typen personopplysninger og kategorier av registrerte
    • den behandlingsansvarliges rettigheter og plikter
    • hva databehandlerne kan gjøre med personopplysninger som NIH er behandlingsansvarlig for
    • hvordan personopplysningene skal sikres mot uautorisert tilgang, endring, sletting, tap eller skade

    Etter at systemer eller tjenester som driftes av eksterne databehandlere er tatt i bruk, er NIH pliktig til å kontrollere at de overholder vilkårene i inngåtte databehandleravtaler. Dette skjer blant annet ved at NIH får tilgang til og gjennomgår databehandlernes egne revisjoner av informasjonssikkerheten i aktuelle systemer eller tjenester.

    Se mal for databehandleravtaler.

    I tillegg til å anvende databehandlere, er NIH selv databehandler. NIH drifter for eksempel datatjenester for administrasjon og forskning som benyttes av andre institusjoner. NIH har rutiner og retningslinjer som ivaretar de personvernforpliktelser som dette innebærer.