Ressursoversikt

Henvisning til maler og skjema, oversikt viktige institusjoner og interne system.

    Prosjektstøtte - interne og eksterne system/partnere

    Prosjektweb

    Alle forskningsprosjekt som gjennomføres av NIH-ansatte skal registreres i Prosjektweb.  Prosjektweb er tilgjengelig via Innersvingen.

    For masterprosjekter må veileder registrere prosjektet og deretter legge til studenten som prosjektmedlem (@student.nih.no).

    Stipendiat og veileder kan avtale seg imellom hvem som skal stå som prosjektleder i Prosjektweb. Det er uansett veileder som har forskningsansvaret for prosjektet.

    I Prosjektweb får du tilgang på sjekklister/huskelister for prosjektadministrasjon. Ved å laste opp prosjektdokumenter som avtaler, budsjett og rapporteringer oppfyller du også arkiveringsplikten - dokumentene overføres direkte til P360. Se veiledere på Innersvingen/Nyttig/Forskningsstøtte.

    NSD

    Alle forskningsprosjekt ved NIH som inkluderer personopplysninger, skal meldes NSD for vurdering før igangsetting. Forsker melder selv prosjektet via NSDs meldingsportal. For studentprosjekt skal studenten gi veileder tilgang til prosjektet/meldeskjema. Veileder har det formelle prosjektlederansvaret og skal ha godkjent prosjektet før det meldes inn. 

    Via meldingsportalen får forsker/student også tilgang til mal for informasjonsskriv til prosjektdeltakere og samtykkeskriv. Eventuelle endringer i prosjektet – inklusiv forsinkelse og forlengelse - skal meldes NSD.

    Selv om NSD gjør vurderinger av personvernrisiko for NIH, er det fortsatt NIH/prosjektleder som har ansvar for at prosjektgjennomføringen følger lover og regler på personvernområdet.

    I prosjekter med spesielle personvernutfordringer kan det måtte gjøres en utvidet vurdering (Data Protection Impact Assessment - DPIA). NSD kan gjennomføre DPIA i samråd med forsker og personvernombud ved NIH. 

    Se mer om rutiner for melding til NSD/NSDs tjenester her.

    Fra 2022 er NSD en del av Sikt - kunnskapssektorens tjenesteleverandør. 

    Regionale etiske komiteer - REK

    REK vurderer forskningsetiske sider ved prosjekter som faller inn under Helseforskningslovens formålsparagraf. Slike prosjekter må ha forhåndsgodkjenning fra REK.

    Dette omfatter forskning på humant biologisk materiale, opprettelse av et helseregister knyttet til et forskningsprosjekt og  innsamling av helseopplysninger når formålet er å få ny kunnskap om helse og sykdom.

    Forskere som er i tvil om et prosjekt skal til REK, kan legge frem en såkalt fremleggelsesvurdering for å få avklart om prosjektet antas for vurdering av REK, eller ikke.  

    Ser mer om REK og rutine for søknad til REK her.

    Etisk komité NIH

    NIHs Etiske komité vurderer forsvarligheten i forskningsprosjekt. Prosjekter som omfatter forskning på mennesker – og som enten innebærer en ikke ubetydelig risiko for forskningsdeltakerne og/eller forskning på sårbare grupper og/eller innsamling av biologisk materiale  skal ha en vurdering og forhåndsgodkjenning fra NIHs etiske komité.  Unntak gjelder for prosjekt som skal godkjennes av REK.

    Kriterier for søknad til NIHs etiske komite

    Forskningsprosjekt skal ha godkjenning fra NIHs etiske komité dersom forskningsprosjektet:

    • Involverer mennesker direkte i form av intervensjoner (psykisk og/eller fysisk);
    • Har betydelig potensial for skade og belastning utover hva som kan regnes som normal risiko og belastning for deltaker;
    • Ikke er fremleggelsespliktig for REK - faller utenfor helseforskningslovens virkeområde.

    Forskningsprosjekt som involverer sårbare grupper, herunder barn og unge under 16 år, skal alltid godkjennes av NIHs etiske komité - med mindre det omfattes av helseforskningslovens virkeområde.

    Det samme gjelder for forskningsprosjekt med innsamling av humant biologisk materiale. 

    Se utfyllende presentasjon om NIHs Etiske komité

    Personvernombud ved NIH

    Personvernombudet skal ivareta personverninteressene til både studenter og ansatte og styrke institusjonens evne til å etterleve regelverket. Personvernombud ved NIH er Rolf Haavik og kan nås via e-post: personvernombud@nih.no.

    Les mer om personvernombudets rolle  på Datatilsynets sider.

    Personvernrådgiver NIH

    Kaja Stene er personvernrådgiver på NIH.

    Kontaktinfo:

    epost kajast@nih.no 

    telefon: 23 26 20 95

     

    Sikresiden om personvern

    Sikresiden.no lages av og for norske universiteter, høgskoler og forskningsvirksomheter. På sikresiden.no gis det forebyggende opplæring og råd om hva du skal gjøre i en krisesituasjon. Du må alltid selv vurdere hva som er best å gjøre i en konkret situasjon.

    Se informasjon om personvern på sikresiden.no

    Se også Sikresiden om informasjonssikkerhet

    Maler og skjema

    NIH som behandlingsansvarlig

    Den behandlingsansvarliges personvernplikter

    I rollen som behandlingsansvarlig har NIH en rekke personvernplikter. Pliktene følger hovedsakelig av bestemmelsene i personvernforordningen og personopplysningsloven.

    NIH skal sørge for at:

    • elektronisk og manuell behandling av personopplysninger skjer på en lovlig og forsvarlig måte i tråd med personvernprinsippene
    • den enkelte sikres medbestemmelse over og kontroll med hvordan NIH behandler hans/hennes personopplysninger
    • NIH har etablert interne rutiner, retningslinjer og gjennomfører egnede tekniske og organisatoriske tiltak som ivaretar de personvernplikter NIH er pålagt.

    Les mer om personvernforordningen (lovdata.no).

    Den enkeltes personvernrettigheter

    Som behandlingsansvarlig er NIH pliktig til å ivareta personvernrettighetene til den som opplysningene gjelder, det vil si ansatte, studenter, gjesteforskere, gjester eller respondenter og informanter i forskningsprosjekter.

    Den enkeltes personvernrettigheter gjelder ved all elektronisk behandling av alminnelige og særlige kategorier av personopplysninger som skjer i forskning, undervisning, administrasjon og formidling ved NIH. Rettighetene gjelder også ved behandling av personopplysninger som inngår (eller er ment å inngå) i manuelle personregistre.

    Formålet med personvernrettighetene er at de som opplysningene gjelder skal ha medbestemmelse over og kontroll med hvordan NIH behandlinger deres personopplysninger.

    For å sikre at de registrerte har medbestemmelse over og kontroll med hvordan NIH behandler deres personopplysninger, har den enkelte på visse vilkår disse rettigheter:

    • rett til informasjon om behandlingsansvarlig, formålet med behandlingen av personopplysninger og eventuelle andre mottakere av personopplysningene
    • rett til innsyn
    • rett til retting/korrigering
    • rett til sletting
    • rett til begrensning av behandling
    • rett til dataportabilitet
    • rett til å protestere

    Elektroniske hjelpemidler - bruk og regler

    Personvernforordningen omfatter all behandling av personopplysninger, herunder hvor elektroniske hjelpemidler blir brukt.

    Med elektroniske hjelpemidler menes for eksempel:

    • datamaskiner
    • programvare
    • datanettverk
    • bærbare dataenheter (mobiltelefoner, nettbrett, pc, osv.)
    • elektronisk adgangskontroll
    • kameraovervåkningssystemer

    Elektroniske hjelpemidler omfatter også datasystemer som benyttes ved NIH, for eksempel FS, SAP / DFØ, P360 eller Canvas.

    I tillegg regnes nettbaserte ressurser, for eksempel hjemmesider, skytjenester eller pedagogiske nettjenester, som elektroniske hjelpemidler.

    Hvilke regler gjelder for innføring og drift av elektroniske kontrolltiltak?

    Elektroniske kontrolltiltak kan blant annet ha som formål å beskytte NIHs bygninger og verdier mot hærverk, ødeleggelse eller tyveri. Slike tiltak omfatter for eksempel bruk av kameraovervåkning og systemer for adgangskontroll hvor passeringsdata om studenter eller ansatte registreres og lagres.

    Elektroniske kontrolltiltak omfatter også, på visse vilkår, innsyn i ansatte eller studenters e-post, personlige lagringsområder, private datautstyr og internettbruk.

    Ved innføring av elektroniske kontrolltiltak ved NIH gjelder reglene i arbeidsmiljøloven kapittel 9. Reglene i arbeidsmiljøloven innebærer følgende:

    • Kontrolltiltak skal ikke innføres uten at det foreligger en saklig grunn for det.
    • Kontrolltiltak skal bare innføres dersom nytten av tiltaket klart overstiger den personvernulempen som det innebærer for ansatte, studenter, gjesteforskere og gjester.
    • Kontrolltiltak skal drøftes med representanter for ansatte og studenter før tiltakene innføres.
    • Det skal gis informasjon til ansatte og studenter om hvordan innførte kontrolltiltak er innrettet og fungerer.
    • Innførte kontrolltiltak skal jevnlig evalueres og behovet for å opprettholde tiltakene skal vurderes.

    Les mer om reglene i arbeidsmiljøloven som gjelder ved innføring av kontrolltiltak (arbeidstilsynet.no).

    Arbeidsmiljøloven har særlige regler om innsyn i ansattes e-post, personlige lagringsområder, private datautstyr og internettlogger (datatilsynet.no). Innsyn i studenters e-post, personlige lagringsområder, private datautstyr og internettlogger reguleres av personvernforordningen.

    Det er utnevnt system- eller tjenesteeiere for alle elektroniske kontrolltiltak som er innført ved NIH. System- eller tjenesteeierne er delegert ansvaret for at reglene om personvern og behandling av personopplysninger følges.

    I tillegg til å ivareta de særlige reglene i arbeidsmiljøloven og personvernforordningen om innføring og drift av elektroniske kontrolltiltak, har system- eller tjenesteeierne for elektroniske kontrolltiltak de samme pliktene som øvrige system- eller tjenesteeiere ved NIH.

    Eksterne datatabehandlere

    Databehandlere er eksterne aktører (ofte kommersielle selskaper eller andre universiteter/høyskoler) som har fått i oppdrag å drifte et elektronisk system eller tjeneste på vegne av NIH.

    Eksterne aktører blir databehandlere for NIH når driften av elektroniske systemer eller tjenester innebærer at de får tilgang til personopplysninger som NIH er behandlingsansvarlig for.

    Som behandlingsansvarlig er NIH pliktig til å sørge for at det bare brukes databehandlere som gir tilstrekkelige garantier for at de vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i personvernforordningen når de behandler opplysninger om ansatte, studenter, gjesteforskere, gjester eller respondenter/informanter i forskningsprosjekter.

    Dette skal først skje ved at det gjennomføres risikovurderinger av informasjonssikkerheten i de eksterne systemene eller tjenestene som NIH vurderer å anvende. Dersom risikovurderingen viser at informasjonssikkerheten er tilfredsstillende, skal det inngås skriftlige avtaler (databehandleravtaler) med databehandlerne. 

    Databehandleravtale

    Databehandleravtaler skal regulere

    • gjenstanden for og varigheten av behandlingen
    • behandlingens art og formål
    • typen personopplysninger og kategorier av registrerte
    • den behandlingsansvarliges rettigheter og plikter
    • hva databehandlerne kan gjøre med personopplysninger som NIH er behandlingsansvarlig for
    • hvordan personopplysningene skal sikres mot uautorisert tilgang, endring, sletting, tap eller skade

    Etter at systemer eller tjenester som driftes av eksterne databehandlere er tatt i bruk, er NIH pliktig til å kontrollere at de overholder vilkårene i inngåtte databehandleravtaler. Dette skjer blant annet ved at NIH får tilgang til og gjennomgår databehandlernes egne revisjoner av informasjonssikkerheten i aktuelle systemer eller tjenester.

    Se mal for databehandleravtaler.

    I tillegg til å anvende databehandlere, er NIH selv databehandler. NIH drifter for eksempel datatjenester for administrasjon og forskning som benyttes av andre institusjoner. NIH har rutiner og retningslinjer som ivaretar de personvernforpliktelser som dette innebærer.


    Relevante lover (lovdata.no)

    Helseforskningsloven

    Personopplysningsloven

    Forskrift om behandling av personopplysninger

    Forskrift om organisering av medisinsk og helsefaglig forskning

    Forskrift om klinisk utprøving av legemidler til mennesker

    Veiledning til forskrift om klinisk utprøving av legemidler til mennesker