Rutiner for forskning med personopplysninger

Personvern handler om at den enkelte skal ha privatlivet sitt i fred og skal ha innflytelse over bruken og spredningen av opplysningene om seg selv. Det stilles derfor også strenge krav til forskeres bruk av personinformasjon. NIH har retningslinjer og rutiner som skal sikre at vår forskning er i tråd med regelverket på dette området.

    Kort om General Data Protection Regulation

    I 2018 kom EU med et nytt regelverk om personvern som heter General Data Protection Regulation (GDPR). GDPR gjelder som norsk lov og oppstiller regler om håndtering av personopplysninger og hvilke rettigheter man har når noen behandler personopplysninger. Reglene i GDPR er ment å gi den som behandler personopplysninger et større ansvar for håndteringen og å gi de som får sine opplysninger behandlet større kontroll over sine opplysninger.

    GDPR gjelder kun for behandling av personopplysninger og ikke andre former for data. Personopplysningsbegrepet skal tolkes bredt. Dette betyr at svært mange typer opplysninger om personer er vernet under GDPR.

    Lovbestemmelser i GDPR er inndelt i ulike stykker. Hvert stykke kalles for en artikkel. En artikkel utgjør det samme som man ved norsk lovgivningsteknikk kaller en paragraf (§). Det betyr at henvisninger til konkrete bestemmelser i loven, viser til en bestemt artikkel

    Ansvar personvern i forskning

    Administrerende direktør er forskningsansvarlig ved NIH. Dette inkluderer ansvar for at NIH har utarbeidet retningslinjer for datasikkerhet og personvern i forskningen, og ansvar for å etablere IT-løsninger for sikker behandling av forskningsdata.

    Forsvarlig gjennomføring av forskningsprosjekt er et linjeansvar - oppgavene er delegert til faginstituttene.

    Ansvar instituttnivå

    Instituttleder er delegert ansvar fra administrerende direktør for oppfølging av prosjekter. Instituttledere har ansvar for at medarbeidere, samt eksterne forskere som arbeider på instituttet, er gjort kjent med dette dokument.

    Instituttledere har også ansvar å følge opp og kontrollere at medarbeidere, eksterne forskere og studenter lever opp til NIHs retningslinjer for datasikkerhet og personvern. 

    Ved permisjon/avslutning av arbeidsforhold skal instituttleder påse at alle forskningsdata er lagret i henhold til retningslinjene og at alle nødvendige endringsmeldinger er sendt til eksterne partnere. 

    Ansvar forskningsprosjektnivå

    Prosjektleder har ansvar for at forskningsetiske normer og personvernregler følges i prosjektet. Veileder har prosjektlederansvar for prosjekt gjennomført av stipendiat eller masterstudent.

    Veiledere har ansvar for at har ph.d.-, master- og bachelorstudenter er gjort kjent med dette dokumentet.

    Ved permisjon/avslutning av studie-/arbeidsforhold skal veileder påse at alle forskningsdata er lagret i henhold til retningslinjer og at alle nødvendige endringsmeldinger er sendt eksterne partnere. 

    Hver enkelt forskningsmedarbeider og student har et selvstendig ansvar for å sette seg inn i og følge rutinene som beskrives i dette dokumentet.

    Hva er personopplysninger

    Personopplysninger er informasjon som gjør det mulig å identifisere en fysisk person. Identifiseringen kan gjøres direkte eller indirekte. Opplysningene eies av den enkelte. Vurderinger eller opplysninger regnes som personopplysninger uavhengig av om de foreligger som tekst, bilder, lyd- eller videoopptak.

    Også usanne opplysninger og subjektive vurderinger er omfattet av personopplysningsbegrepet. En sensors kommentarer til en kandidats eksamensbesvarelse utgjør personopplysninger om kandidatene. 

    Eksempler personopplysninger

    Eksempler på personopplysninger kan være:

    • navn, adresse, alder, telefonnummer, e-postadresse og fødselsnummer
    • innholdet i eksamensbesvarelser, bachelor- eller masteroppgaver og kandidatenes karakterer
    • innhold i saksdokumenter, utredninger eller vurderinger som omhandler ansatte eller studenter
    • innholdet i e-postkommunikasjon mellom ansatte og studenter eller mellom to eller flere studenter
    • video- og lydopptak som gjøres ved bruk av overvåkningskamera og hvor enkeltpersoner kan gjenkjennes
    • bilder av ansatte eller studenter som publiseres på hjemmesiden
    • logging av aktivitet i datasystemer hvor loggene kan knyttes til bestemte ansatte eller studenter, for eksempel registrering av hvem som til enhver tid er pålogget ulike datasystemer

    Hva er alminnelige personopplysninger

    Med alminnelige personopplysninger menes alle typer vurderinger og opplysninger som kan knyttes til en identifisert eller identifiserbar fysisk person, men som personvernforordningen ikke definerer som særlige kategorier av personopplysninger (sensitive personopplysninger).

    Merk at fødselsnummer ikke regnes som en særlig kategori av personopplysninger (sensitiv personopplysning). Siden fødselsnummer ofte anvendes for å identifisere enkeltpersoner, inneholder personopplysningsloven likevel spesielle vilkår slik at fødselsnummer bare kan brukes når:

    • det er saklig behov for sikker identifisering av enkeltpersoner
    • sikker identifisering ikke kan oppnås på andre måter, for eksempel ved bruk av ansatt- eller studentnummer

    Les mer om reglene for bruk av fødselsnummer på datatilsynet.no.

    Hva er særlige kategorier av personopplysninger

    Med særlige kategorier av personopplysninger, også kalt sensitive personopplysninger, menes vurderinger og opplysninger som kan knyttes til bestemte enkeltpersoner og som krever et særskilt vern. Spredning av disse opplysningene kan skape betydelig risiko for personer det gjelder. Kategoriene er hentet direkte fra personvernlovgivningen og omhandler:

    • helseopplysninger og helserelaterte forhold
    • genetiske og biometriske opplysninger med det formål å entydig identifisere en fysisk person
    • etnisk eller rasemessig opprinnelse
    • politiske, filosofiske eller religiøse oppfatninger og livssyn
    • seksuell orientering eller seksuelle forhold
    • fagforeningsmedlemskap

    Eksempler på sensitive personopplysninger er:

    • informasjon om studenters sykdom eller diagnoser
    • helseopplysninger registrert i forbindelse med ansattes sykefravær
    • informasjon om eksamensfusk eller forsøk på fusk
    • behov for tilrettelagt eksamen av helsemessige grunner
    • opplysninger om ansattes alkohol- eller rusmisbruk
    • opplysninger om fagforeningsaktivitet
    • informasjon om holdninger til ulike religiøse eller politiske spørsmål som respondenter i spørreundersøkelser bes om å oppgi.

    Særlige kategorier av personopplysninger skal sikres ekstra godt mot brudd på informasjonssikkerheten.

    Direkte - indirekte - anonyme

    En person vil være direkte identifiserbar via navn, fødsels-/personnummer eller andre personentydige kjennetegn.

    En person vil være indirekte identifiserbar dersom det er mulig å identifisere vedkommende gjennom bakgrunnsopplysninger som for eksempel bostedskommune eller institusjonstilknytning kombinert med opplysninger om alder, kjønn, yrke, diagnose, etc.

    Anonyme opplysninger er informasjon som ikke på noe vis kan identifisere enkeltpersoner i et datamateriale, hverken direkte gjennom navn eller personnummer, indirekte gjennom bakgrunnsvariabler, eller gjennom navneliste/koblingsnøkkel eller krypteringsformel og kode.

    Anonymiserte opplysninger regnes ikke som personopplysninger. Reglene i personvernforordningen og personopplysningsloven med forskrift gjelder derfor ikke for behandling av slike opplysninger.

    Tredjepersoner

    Personidentifiserbare opplysninger om andre personer enn utvalget/respondentene selv regnes som tredjepersonsopplysninger. Det kan her være snakk om både direkte eller indirekte identifiserende opplysninger.

    Tredjepersonsopplysninger kan f.eks. komme frem i intervju eller i spørreskjema (f.eks. spørsmål om mors og fars utdannelse eller aktivitetsnivå, spørsmål til elever om lærers undervisningsmetoder, eller hvis deltakeren skal fortelle om livshendelser).

    Hvis du skal registrere opplysninger om tredjepersoner, må du krysse “Ja” for Tredjeperson i NSDs meldeskjema og ta stilling til følgende:

    • Er det mulig eller hensiktsmessig å gi informasjon til tredjeperson?
    • Er det mulig eller hensiktsmessig å innhente samtykke fra tredjeperson?

    Som hovedregel skal du også gi informasjon til tredjepersoner, men det er mulig å unnta fra dette dersom visse vilkår er oppfylt.

    Pseudonymisering og anonymisering

    Opplysningene er pseudonymiserte eller avidentifisert dersom navn, personnummer eller andre personentydige kjennetegn er erstattet med et nummer, en kode, fiktive navn eller lignende som viser til en atskilt liste eller en koblingsnøkkel med de direkte personopplysningene. 

    For at datamaterialet skal regnes som avidentifisert, må også indirekte personidentifiserende opplysninger kategoriseres i vide kategorier eller fjernes helt. Med vide kategorier menes for eksempel landsdel i stedet for spesifiserte kommuner eller byer, aldersintervaller (10-19 år, 20-29 år osv.) i stedet for presis alder og lignende.

    Den eneste måten å identifisere enkeltpersoner i et avidentifisert datamateriale skal være gjennom navnelisten/koblingsnøkkelen.

    Koblingsnøkkel skal alltid oppbevares adskilt fra data.

    Pseudonyme opplysninger anses som personopplysninger sålenge koblingsnøkkel eksisteres.

    Anonymisering av data krever at koblingsnøkkel slettes.

    Bilde- og lydopptak må transkriberes for å pseudonymisere personopplysningene. Unngå å bruke navn eller notere opplysninger som kan identifisere en person. For anonymisering må lydopptak slettes.

    Behandlingsgrunnlag

    Om behandlingsgrunnlag

    Personopplysninger kan ikke samles inn eller behandles på annen måte uten et lovlig grunnlag. Prosjektleder har ansvar for at dette foreligger. Det vanligste grunnlaget for forskning er samtykke fra deltakerne men andre grunnlag kan være aktuelle.

    Samtykke som grunnlag

    Samtykket fra deltakerne skal være informert og frivillig. Prosjektleder har ansvar for at den enkelte deltaker forstår hva de sier ja til å delta i. Det kan være nødvendig å lage egne informasjonsskriv til ulike deltakergrupper. Dersom forskningsprosjektet skal behandle særlige kategorier (sensitive) personopplysninger, må samtykket være uttrykkelig.

    Loven stiller krav om at samtykkene må kunne dokumenteres. Dokumentasjonen må oppbevares så lenge behandlingen varer.

    På NSDs sider finner du mer informasjon om samtykke og maler for informasjonsskriv.

    Bredt samtykke

    I enkelte tilfeller er det mulighet til å innhente et bredt samtykke hvor deltakerne samtykker til flere forskjellige forskningsprosjekter. Deltakeren må informeres om hva det innebærer å gi bredt samtykke. Dette forutsetter at de hører inn under samme definerte forskningsmål. REK kan sette vilkår for bruk av bredt samtykke. 

    Deltakere uten samtykkekompetanse

    Forskning som inkluderer mindreårige og personer uten samtykkekompetanse kan bare finne sted dersom:

    • Eventuell risiko eller ulempe for personen er ubetydelig
    • Personen selv ikke motsetter seg det.
    • Det er grunn til å anta at resultatene av forskningen kan være til nytte for den aktuelle personen eller for andre personer med samme aldersspesifikke lidelse, sykdom, skade eller tilstand.

    For mindreårige kreves det at tilsvarende forskning ikke kan gjennomføres på personer som ikke er mindreårige.

    Barn og ungdommer kan som hovedregel selv samtykke til deltakelse i forskning når de er fylt 15 år. For barn under denne alderen bør foreldre samtykke på vegne av barnet. Hvis det skal samles inn særlige kategorier av personopplysninger må ungdommen være fylt 16 år for å samtykke.

    Foreldre eller andre med foreldreansvar må samtykke dersom forskningsdeltakeren er under 16 år. Det samme gjelder hvis deltakeren er mellom 16 og 18 år og forskningen innebærer legemsinngrep eller legemiddelutprøving. Det må utarbeides alderstilpassede informasjonsskriv som tar hensyn til den mindreåriges modenhet og erfaring og informasjonsskriv til den som samtykker på vegne av deltakeren. 

    Deltagelse i forskning skal alltid være frivillig, uavhengig av hvem som har samtykkekompetanse .

    For medisinsk og helsefaglig forskning finnes det en egen forskrift som bestemmer at barn mellom 12 og 16 år selv kan samtykke til behandling av personopplysninger til visse typer forskning - se henvisning.

    Se mer om samtykke fra mindreårige hos Datatilsynet og hos NSD.

    For personer uten samtykkekompetanse på grunn av helsetilstand, psykisk utviklingshemming eller umyndiggjøring, kreves det at det ikke er grunn til å tro at vedkommende ville motsatt seg deltakelse i forskningsprosjekter hvis vedkommende hadde hatt samtykkekompetanse, og at tilsvarende forskning ikke kan gjennomføres på personer med samtykkekompetanse. Særlige regler gjelder for hvem som må gi samtykke, se helseforskningsloven § 17 og 18.

    Rett til å trekke tilbake samtykke

    Den registrerte skal ha mulighet til å trekke sitt samtykke like enkelt som det ble gitt. Den registrerte trenger ikke å oppgi noen grunn for å trekke seg.

    Å trekke samtykket innebærer for det første at forskningsdeltagere ikke lenger ønsker å være med på prosjektet. For det andre innebærer dette at vi ikke lenger har et rettsgrunnlag for behandlingen og personopplysningene vi har om vedkommende skal dermed slettes.

    Adgangen til å trekke samtykket varer så lenge det er mulig å identifisere vedkommende i datamaterialet. I prosjekter med mange deltagere vil dette si inntil informasjonen er slettet eller anonymisert. For prosjekter med få deltagere vil det teknisk sett kunne være mulig å trekke samtykket og få slettet informasjon også etter anonymisering fordi forskeren kjenner identiteten til de få deltagerne. Hvis vi publiserer resultater basert på forskning vil disse som regel ikke omfatte identifiserende opplysninger. At en forskningsdeltager trekker sitt samtykke etter publisering innebærer derfor ikke at vi må trekke tilbake en publisert artikkel. Er det imidlertid slik at det vil være mulig å kunne identifisere enkeltpersoner i en publikasjon er det viktig at deltagere får god informasjon på forhånd om hvilke data som skal publiseres og hvor gjenkjennbare de vil være.

    Andre grunnlag

    Andre relevante lovlige grunnlag for forskning kan være

    • Berettiget interesse
    • Allmenhetens interesse
    • Lovhjemmel

    Berettiget interesse: Noen ganger kan virksomhetens eller en tredjeparts interesse være større enn personvernulempen for den registrerte. Eksempel kan være utsending av påmelding til et seminar eller strømming 

    Allmenn interesse: I noen tilfelle kan det av ulike grunner være vanskelig å innhente et gyldig samtykke fra utvalget, eller samtykke innebærer en uforholdsmessig innsamling av personopplysninger. Rettsgrunnlaget kan i slike tilfelle være allmenn interesse. Det må gjøre en interesseavveining mellom samfunnets interesser i forskningen og de ulempene behandlingen medfører for den enkelte. 

    Behandlingen må være nødvendig - for å utføre en oppgave eller for et formål. Det må altså være veldig vanskelig å oppnå formålet uten å benytte allmenn interesse som grunnlag. 

    Det må i tillegg til allmenn interesse foreligge hjemmel i lov eller forskrift. Ofte vil dette være personopplysningslovens § 8 for behandling vanlige personopplysninger og § 9 for særlig kategori av personopplysninger. I det siste tilfellet må samfunnets interesse for at behandlingen finner sted klart overstiger ulempene for den enkelte. 

    Prosjektansvarlig må sørge for dokumentasjon av vurderingene som er gjort/avveiingen mellom personvernulempen for den enkelte og institusjonens eller allmennhetens interesse av forskningen.

    Eksempler ulike lovlig grunnlag

    Utsending av ikke-anonym spørreundersøkelse - grunnlaget varierer etter hvilken behandling som foretas underveis:

    • Utsending av spørreundersøkelse til et bredt utvalg (som ikke er spurt på forhånd) - institusjonen har berettiget interesse og personvernulempen for den enkelte er lav 
    • Innhenting av svar - deltaker gir sitt samtykke ved å svare 
    • Innhenting av opplysning om helse (f.eks. kartlegging av Covid-19) - allmennhetens interesse 

    Andre eksempler på lovlig grunnlag for behandling av personopplysninger  (ikke forskning):

    • Innhente helseopplysninger i en akuttsituasjon - vern om liv og helse 
    • Lønnsutbetaling - avtale/kontrakt

    Godkjenninger og vurderinger

    Om godkjenninger og vurderinger før oppstart

    NIHs rutiner knyttet til godkjenninger og vurderinger før oppstart er knyttet til om du er forsker eller stipendiat eller om du er masterstudent:

    Om godkjenninger før oppstart for forskere og stipendiater

    Om godkjenninger før oppstart for masterstudenter

    Innsamling

    Om innsamling av data

    All innsamling skal foretas på NIH-oppsatt utstyr og data skal så raskt som mulig overføres til tilangsstyrt område eller i Sikker sone. Data som inneholder personopplysninger skal ikke lagres på telefon, diktafon eller andre typer mobilt utstyr men i NIHs sikre sone for mulig kontroll og etterprøvbarhet. ​

    Intervju - diktafon og bruk av Zoom

    Zoom kan benyttes til intervjuer med eller uten bilde, så lenge disse ikke inneholder særlige kategorier personopplysninger. Zoom kan ikke benyttes utenfor NIH. 

    Se fullstendig rutinebeskrivelse for Zoom

    Diktafon kan lånes i Servicetorget. 

    Opptak skal transkriberes så raskt som mulig og personidentifiserende opplysninger fjernes. Lydfiler må oppbevares på sikker måte.

    Spørreundersøkelser

    Som hovedregel skal SurveyXact benyttes i forbindelse med elektroniske spørreskjema. Det er ikke anledning til å benytte et annet system uten å innhente godkjenning fra leder for IT.  Forskere og studenter kan logge seg inn med Feide-id.

    Undersøkelser i SurveyXact kan gjøres anonyme så snart utkast til spørreskjema er laget. Dette må gjøres før noen deltakere er lagt til. (Se fane Avansert/anonym undersøkelse i Spørreskjema.)

    Biologisk materiale

    Se prosedyre for innsamling, lagring og bruk av humant biologisk materiale på side om retningslinjer for prosjektadmininstrasjon

    Se egne regler for master studenter.

    Klassifisering og lagring

    Informasjon og forskningsdata klassifiseres i personvernsammenheng i ulike kategorier - med tilhørende fargekoder. Avgjørende for klassifiseringen er hvor stor skade det kan medføre for enkeltpersoner eller institusjoner dersom data kommer på avveie. Det stilles strengest krav til hvordan data i kategoriene sort eller rød skal behandles og oppbevares.

    Sort - strengt fortrolig

    Sort: strengt fortrolig

    «Strengt fortrolig» benyttes dersom det vil kunne forårsake betydelig skade for offentlige interesser, NIH, enkeltperson eller samarbeidspartner hvis informasjonen blir kjent for uvedkommende.

    Sorte forskningsdata skal lagres i NIHs sikre sone.

    Eksempler sorte data

    • Sensitive og personidentifiserbare forskningsdata som skal deles med eksterne samarbeidspartnere;
    •  Forskningsdata og datasett av stor økonomisk verdi, f.eks. en database de thar tatt mange år å bygge opp.
    • Samarbeidsprosjekt med helseinstitusjon der det sees på sammenheng mellom treningsbelastning, næringsinntak og beintetthet hos idrettsutøvere som er i faresone for å utvikle spiseforstyrrelse

    Rød - fortrolig

    Rød: fortrolig

    «Fortrolig» benyttes hvis det vil forårsake skade for offentlige interesser, NIH og enkeltperson eller samarbeidspartner hvis informasjonen blir kjent for uvedkommende. 

    Røde forskningsdata kan lagres i Sikker sone, på NIH-driftet kryptert laptop eller kryptert minnepinne. Forsker har ansvar for sikker lagring av utstyret.

    Er det tvil om hvorvidt forskningsdata tilhører rød eller sort kategori, skal sort benyttes.

    Eksempler røde data

    • Sensitive persondata som ikke kan pseudonymiseres (bilde, video og lydopptak)
    • Koblingslister og samtykkeskjema  - skal oppbevares adskilt fra forskningsdataene
    • Pseudonymiserte personopplysninger som kan medføre betydelig skade om de skulle bli kjent for uvedkommende. 

    Gule data - begrenset

    Gul: Begrenset

    Informasjonen må ha en viss beskyttelse.  Kan være tilgjengelig for eksterne og interne, med kontrollerte tilgangsrettigheter. Kan forårsake en viss skade for institusjonen hvis informasjonen blir kjent for uvedkommende.

    Eksempler gule data

    • Forskningsdata uten direkte identifiserbare personopplysninger («pseudonymiserte»), men som ikke dekkes av punktene under rødt eller sort.  
    • Personopplysninger som ikke er sensitive. Dette gjelder også materiale som ikke kan pseudonymiseres (video, bilde eller lydopptak).  
    •  Anonymiserte helseopplysninger - koblingsnøkkel er slettet
    • Mastergradsoppgave som ser på sammenhengen mellom maksimalt oksygenopptak og fysisk prestasjonsevne i en stor gruppe friske idrettsutøvere.   
    •  Biomekanisk analyse av løpesteg med videobilder fra siden og forfra der det ikke er mulig å identifisere deltaker

    Grønne data - åpen klasse

    Grønn: åpen

    Denne klassen benyttes dersom det gjelder forskningsdata som kan eller skal være tilgjengelig for alle uten særskilte tilgangsrettigheter. Dette vil i hovedsak si data som er anonymisert/ikke inneholder persondata. 

    Dataenes integritet skal sikres ved at kun personer med riktige rettigheter har tilgang til å endre informasjonen. Selv om dataene kan være åpne, er det ikke fritt fram å velge hva som gjøres med dem.

     

    Oversikt lagringsmuligheter

    Tabellen nedenfor er en forkortet versjon. Se NIHs lagringsguide og klassifiseringsguide for utfyllende informasjon om hva slags informasjon kan lagres hvor.

    Kategori/Hvor Svart Rød Gul Grønn
    NIH-driftet laptop Nei Ja Ja Ja
    Privat laptop Nei Nei Ja Ja
    Minnepinne - kryptert Nei Ja Ja Ja
    Privat minnepinne Nei Nei Nei Ja
    Onedrive Nei Nei Ja Ja
    Filserver Nei Ja Ja Ja
    Sikker sone Ja Ja Ja Ja

    Lagring av biologisk materiale

    Det er et grunnleggende prinsipp at humant biologisk materiale i en forskningsbiobank skal oppbevares og behandles forsvarlig, og at dette skjer i respekt for giveren.

    Regelverket gjelder uavhengig av om materiale kan knyttes opp til giver ved direkte personidentifiserbare kjennetegn; ved bruk av kodenøkkel eller uten noen form for koblingsmulighet.

    REK skal ha forhåndsgodkjent opprettelse av generelle forskningsbiobanker.

    Instituttleder skal ha oppdatert register over instituttets biobanker, hvor det fremgår hvem som er ansvarlig, og rutine for lagring, destruksjon ved sluttdato og internkontroll.

     

    REK har skjerpet kravene til søknad om generell biobank og stiller krav om at det skal legges ved en protokoll som beskriver biobanken. Kravet gjelder ikke for generelle biobanker som allerede var godkjente, men dersom du skal sende inn en endringssøknad for en generell biobank, vil du bli bedt om å legge ved en (revidert) protokoll.

    Arkivering forskningsdata

    Arkivering av data må ikke forveksles med lagring av data som er i bruk i løpet av prosjektperioden. 

    NIH stiller krav om at data fra forskningsprosjekt skal oppbevares i fem år etter prosjektslutt (for kontroll og etterprøvbarhet.) Kravet gjelder ikke for masterprosjekter.  Etter påbudt lagringstid skal prosjektleder sørge for at personopplysninger blir anonymisert eller slettet.

    Fullstendig anonymisering kan være utfordrende og ressurskrevende å gjennomføre i praksis og gjenbruksverdien av datasettet vil som regel begrenses.

    Hvis forskningsdeltakerne har samtykket til at indirekte identifiserende data kan arkiveres og deles under visse forutsetninger.

     

    Tilgang, deling og overføring

    Virksomheten/forskerne/studentene eller medarbeiderne som skal  ha tilgang til persondata må være omtalt i meldeskjema til NSD og eventuelt i søknad til REK. Forskningsdeltakerne må også være informert om og ha samtykket til slik deling av personinformasjon.

    Tilgang Sikker sone via Prosjektweb

    Prosjektleder kan gi prosjektmedarbeidere tilgang til persondata lagret i Sikker sone via Prosjektweb.

    Samme registreringsskjema brukes for å angi eksterne og interne prosjektmedarbeidere brukes. For eksterne forskere må et mobiltelefonnummer oppgis (for to-trinns innlogging).

    Sikker sone kan også brukes til deling av data med forskere fra land som ikke har tilsvarende personvernlovgivning som EU/EØS/Canada/Australia.

    Avtaler for tilgang ikke-ansatte

    Dersom prosjektmedarbeidere ikke er tilsatt ved NIH og skal ha tilgang til personopplysninger må det inngås egen avtale. Se taushetserklæring for prosjektmedarbeidere  . Det er ikke nødvendig med taushetserklæring dersom det er samarbeid med en statlig virksomhet. Masterstudenter signerer taushetserklæringen i forbindelse med veiledningsavtalen for sitt prosjekt.

    Skal eksternt ansatte ha tilgang til NIHs IT-system, skal det utarbeides egen tilgangsavtale.  

    Prosjektleder kan gi eksterne forskere tilgang til forskningsdata som ligger lagret i NIHs Sikre sone. Da trengs det ingen databehandleravtale. Se mer om Sikker sone i Lagringsguiden.

    Overføring - deling med andre institusjoner

    Dersom identifiserbare persondata skal overføres til eller lagres ved en samarbeidsinstitusjon må det inngås en avtale der ansvaret og oppgavene for hver institusjon framgår.  For avtalen er det viktig å vite hvilken rolle og hvilke oppgaver hver institusjon skal ha:

    Dersom NIH lar ekstern part behandle personinformasjon kun for NIHs eget formål, er NIH behandlingsansvarlig og instruerer databehandler om hvordan data skal behandles. Databehandler kan ikke bruke disse data til egne formål. 

    Felles behandlingsansvar oppstår når to eller flere separate behandlingsansvarlige beslutter formål og de avgjørende midlene i behandlingen. Det er ikke krav om at ansvaret er likt fordelt men begge parter må ha en lovlig adgang til å behandle opplysningene.

    Se Datatilsynets sider/veiledninger om Databehandleravtaler og hva som ligger i begrepene behandlingsansvarlig og databehandler.

    Overføring av persondata til land utenfor EU/EØS-området krever spesielle vurderinger og avtaler. Se mer hos Datatilsynet. 

    IT-ansvarlig ved NIH skal underskrive databehandleravtaler, men prosjektleder har ansvar for å utarbeide forslag til avtale. 

    Avtale om overføring av fysisk materiale ((Material Transfer Agreement /MTA) kan i de fleste tilfeller underskrives av instituttleder. Relevante eksempler er avtaler om blodprøver og muskelvev som skal analyseres i andre laboratorier.

     

    Brudd personvernssikkerhet

    Varsle brudd på personvern og datasikkerhet

    Et brudd på personsikkerhet kan være at personinformasjon er kommet på avveie eller at behandlingen av personopplysninger ikke er i tråd med lover eller NIHs rutiner for datasikkerhet.

    Hvis du mistenker at det har foregått et brudd på datasikkerheten skal du snarest mulig informere din leder.

    Leder skal sende varsling til sikkerhetsavvik@nih.no. Beskriv hendelsen/hva som har skjedd.

    Institusjonen/NIH skal vurdere mulige konsekvenser og rapportere brudd på personopplysningssikkerheten til Datatilsynet innen 72 timer. Rapportering gjøres i samarbeid med Personvernombudet.

    Eksempler avvik personvern

    • personlige opplysninger, passord eller lignende kommer i feil hender som følge av «phishing» eller falske nettverk.   
    • feilsendt e-post og vedlegg, særlig der det er personopplysninger 
    • innsamling av data i skjema som gjør informasjonen søkbar på internett, eller i skjemaverktøy der NIH ikke har databehandleravtale  
    • feilutlevering eller feilpublisering av informasjon
    • feil i tilganger, utstyr eller programvare som gjør at informasjonens tilgjengelighet er svekket, og som igjen kan svekke sikkerheten 
    • rutiner som mangler, ikke fungerer, eller som ikke følges 
    • informasjon med klassifiseringsnivå som krever tilgangsstyring er åpen og tilgjengelige for uvedkommende
    • manglende grunnlag eller vurdering av grunnlag for å behandle personopplysninger 
    • fødselsnummer som er sendt ukryptert per e-post  til eksterne