Retningslinjer for vern og utveksling av personopplysninger og helseforskningsdata

Høgskolen i Molde – Vitenskapelig høgskole i logistikk.  Revidert av Forskningsutvalget  d. 20.05.2020   

Innhold

I.       Innledning
A.     Bakgrunn og formål
B.      Lovmessig grunnlag

II.      Definisjoner og forklaringer
A.     Personopplysninger
B.     Roller
C.     Behandling og oppbevaring av data
D.     Samtykke og innsyn

III.     Roller og ansvar
A.     Hvem
B.     Ansvar
C.     Oppgaver

IV.    Oppstart av forskningsprosjekt under personopplysningsloven - A
A.     Formål
B.     Aktiviteter
C.    Dokumentasjon

V.     Oppstart av studentprosjekt under personopplysningsloven – A
A.    Formål
B.    Aktiviteter
C.    Dokumentasjon

VI.    Informasjon og samtykke til bruk av personopplysninger i forskning under personopplysningsloven
A.     Formål
B.     Aktiviteter
C.    Dokumentasjon

VII.    Oppbevaring av aktive forskningsdata
A.     Formål
B.     Aktiviteter
C.     Dokumentasjon

VIII.   Ivaretakelse av forskningsdeltakernes (de registrertes) rett til innsyn, retting og sletting, tilbakekalling av samtykke og reservasjon
A.     Formål 
B.     Aktiviteter
C.     Dokumentasjon

IX.     Endring av forsknings- eller studentprosjekter under personopplysningsloven – A
A.     Formål
B.     Aktiviteter
C.     Dokumentasjon

X.      Avslutning av forskningsprosjekt under personopplysningsloven
A.     Formål
B.     Aktiviteter
C.     Dokumentasjon

XI.     Avslutning av studentprosjekt under personopplysningsloven
A.     Formål
B.     Aktiviteter
C.     Dokumentasjon

XII.        Overføring av personopplysninger og helseforskningsdata til prosjekt utenfor egen virksomhet
A.     Formål
B.      Aktiviteter
C.      Dokumentasjon

XIII.   Langtidsoppbevaring av forskningsdata
A.     Formål
B.     Aktiviteter
C.     Dokumentasjon

XIV.   Internkontroll av forskningsprosjekter
A.     Formål
B.     Aktiviteter
C.     Dokumentasjon

XV.    Håndtering av avvik og brudd på personopplysningssikkerheten
A.     Formål
B.     Aktiviteter
C.     Dokumentasjon

 

 

I. Innledning

A. Bakgrunn og formål

Formålet med retningslinjene er å verne fysiske personer i forbindelse med deltakelse i forskningsprosjekter som behandler personopplysninger og helseforskningsdata, jf. Lov om behandling av personopplysninger (personopplysningsloven som gjennomfører personvernforordningen (EU) 2016/67) og Lov om medisinsk og helsefaglig forskning (helseforskningsloven). Retningslinjene skal også ivareta generelle forskningsetiske hensyn i tråd med lov om organisering av forskningsetisk arbeid (forskningsetikkloven).

Personvernregelverket skal bidra til at personopplysninger behandles i samsvar med grunnleggende personvernhensyn, og skal sikre personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger. Forskningsetikkloven vektlegger at all forskning skal foregå i samsvar med anerkjente forskningsetiske normer. Både personopplysningsloven og forskningsetikkloven vektlegger institusjonens ansvar i tillegg til at enhver som behandler personopplysninger (i dette tilfellet forskere og studenter), har et selvstendig ansvar for å overholde lover, retningslinjer og normer.

Institusjonen skal gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres forsvarlig, og sørge for at eventuelle avvik blir oppdaget og korrigert. Ved all behandling av personopplysninger skal personvernkonsekvenser vurderes og behandlingen protokollføres. Retningslinjene med rutiner er HiMolde sitt verktøy for å sikre dette.

Retningslinjene er delt inn i tre hovedelementer:

  • Styrende elementer knyttet til ledelsessystem og ansvarsfordeling.
  • Gjennomførende elementer, i hovedsak rettet mot ansatte og studenter. Her finnes beskrivelse av retningslinjer og rutiner som er tilpasset den enkeltes rolle/arbeidssituasjon.
  • Kontrollerende elementer som bidrar til å fange opp og korrigere avvik. Det skal gjennomføres periodevis gjennomganger. Retningslinjer og rutiner oppdateres ved behov.

Retningslinjene representerer en felles rutinesamling for forskningsprosjekter som omfatter behandling av både personopplysninger og helseforskningsdata. Mens personopplysningsloven gjelder for all forskning som håndterer personopplysninger, finnes det særlige tilleggsrutiner som skal ivareta krav i helseforskningsloven. Rutinene som gjelder generelt for all forskning på personopplysninger.

Mer informasjon om personvern finnes hos Norsk senter for forskningsdata (NSD) og Datatilsynet, samt fagspesifikke forskningsetiske retningslinjer fra De nasjonale forskningsetiske komiteene.

 

 

B. Lovmessig grunnlag

  • Lov om behandling av personopplysninger (personopplysningsloven)
  • Personopplysningsforskriften
  • Lov om medisinsk og helsefaglig forskning (helseforskningsloven)
  • Forskrift om organisering av medisinsk og helsefaglig forskning
  • Lov om organisering av forskningsetisk arbeid (forskningsetikkloven)

 

 

II. Definisjoner og forklaringer

Definisjoner og forklaringer er inndelt i kategoriene Personopplysninger, Roller, Oppbevaring av data, Samtykke og innsyn

A. Personopplysninger

Personvernregelverket

Samlebetegnelse for lover, forskrifter og reglement som regulerer bruk av personopplysninger.

Personopplysning

Opplysninger om en identifisert eller identifiserbar fysisk person.

Behandling av personopplysninger i forskning

Enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting etter tilintetgjøring. Behandling av personopplysninger i forskning er ikke tillatt før prosjektet er forhåndsvurdert og protokollført gjennom meldeskjema til NSD. For prosjekter som omfattes av helseforskningsloven, vil det være også nødvendig med en etisk godkjenning av REK.

Behandlingens lovlighet (behandlingsgrunnlag)

Behandlingen av personopplysninger er bare lovlig dersom minst ett av seks vilkår listet opp under personvernforordningens Artikkel 6 er oppfylt. For forskningsprosjekter vil samtykke til behandling av personopplysningene fra den registrerte være hovedvilkåret for lovlighet.

Særlige kategorier av personopplysninger (erstatter tidligere sensitive personopplysninger)

Særlige personopplysninger er opplysninger om: rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering.

Anonyme opplysninger

Opplysninger hvor personidentitet ikke kan utledes, verken direkte eller indirekte.

Direkte identifiserbare personopplysninger

Personopplysninger der det klart fremgår hvem personen er, f.eks. ved navn, fødselsnummer, bilde, e.lign.

Indirekte identifiserbare personopplysninger

Personopplysninger der personen kan gjenkjennes indirekte, f.eks. gjennom en kombinasjon av alder slik som alder, kjønn, bosted, yrke, IP adresser, via en koblingsnøkkel e.lign.

Pseudonyme personopplysninger

Personopplysninger der identiteten er skjult, men der det likevel er mulig å følge enkeltpersoner.

Tredjepersonsopplysninger

Personidentifiserbare opplysninger om andre personer enn forskningsdeltakerne selv (deltakernes familie, venner, kolleger, tjenesteutøvere, osv.). Identifikasjonen kan være direkte eller indirekte.

Avidentifiserte personopplysninger

Behandling av personopplysninger der navn, fødselsnummer og andre personentydige kjennetegn behandles separat fra de øvrige opplysningene. Dette kan være transkriberte intervjuer eller statistiske data der personopplysningene er erstattet med koder ved bruk av en koblingsnøkkel (se under). Avidentifiseringen er riktig utført hvis forskningsdataene kan betraktes som anonyme opplysninger dersom koblingsnøkkelen slettes.

Koblingsnøkkel

En koblingsnøkkel er en navneliste eller fil som muliggjør identifisering av enkeltpersoner i et datasett. Opprettelse av koblingsnøkkel innebærer å erstatte navn, personnummer, e-postadresse eller andre personentydige kjennetegn i datasett med en kode/nummer/fiktivt navn e.lign. Koblingsnøkkelen oppbevares separat fra datamaterialet på et særlig område av forskningsområdeen. Når andre er behandlingsansvarlige og oppbevarer koblingsnøkkelen, skal forsker forsikre seg om at den er trygt oppbevart hos vedkommende (på PC med sikker tilgang, server, låsbart skap e.lign.)

Anonymisering

Sletting av alle personopplysninger fra datasettet.

Personregister

Registre, fortegnelser m.m. der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen.

Utlevering av personopplysninger

Gjøre opplysningene kjent for andre juridiske personer enn virksomheten.

Konfidensialitet

Konfidensialitet innebærer å beskytte personopplysninger man er gjort kjent med gjennom sin forskning slik at den ikke tilfaller uvedkommende.

Protokoll for behandlingsaktiviteter

Hver behandlingsansvarlig og, dersom det er relevant, den behandlingsansvarliges representant skal føre protokoll over behandlingsaktiviteter som utføres under deres ansvar (jf. Artikkel 30).

Ved HiMolde innhentes oversikt over behandling av personopplysninger når forsker sender meldeskjema til NSD. Ved endringer skal dette meldes til NSD.

Vurdering av personvernkonsekvenser

Dersom det er sannsynlig at en type behandling vil medføre en høy risiko for fysiske personer rettigheter og friheter, skal den behandlingsansvarlige før behandlingen foreta en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for personopplysningsvernet (jf. Artikkel 35). NSD er HiMoldes personvernrådgiver og skal bistå med vurdering av personvernkonsekvenser før oppstart av prosjektet.

 

B. Roller

Personvernombud

HiMolde skal ha sitt eget personvernombud (jf. Artikkel 37). Personvernombudets oppgaver er særlig å informere og gi råd om behandling av personopplysninger, men også å kontrollere overholdelsen av personvernforordningen og på oppfordring gi råd om vurdering av personvernkonsekvenser.

Den behandlingsansvarlige skal rådføre seg med personvernombudet i forbindelse med utførelsen av en vurdering av personvernkonsekvenser i forskning.

Behandlingsansvarlig

En fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes.

Behandlingsansvarliges kontaktperson ved HiMolde er viserektor for forskning.

Databehandler

 

 

Forskningsadministrasjon

Den som behandler personopplysninger på vegne av den behandlingsansvarlige. Databehandler har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet og for å verne om personopplysningene.

Viserektor for forskning, biblioteksjef, økonomirådgiver for rapportering av forskningsprosjekt tar seg av ulike deler av administrasjonen rundt forskningsprosjekt.

Prosjektleder/daglig ansvarlig/PhD-student

En person med ansvar for den daglige driften av forskningsprosjekt, som har nødvendige forskningskvalifikasjoner og erfaringer for å kunne oppfylle prosjektleder/daglig ansvarlig sine plikter etter personopplysningsloven.

Prosjektmedarbeider

En person som deltar som forsker eller assistent i et forskningsprosjekt. Prosjektmedarbeider har et selvstendig ansvar for å oppfylle sine plikter etter personopplysningsloven.

Forskningsdeltaker eller «den registrerte»

Det enkeltindivid (den personen) hvis opplysninger det forskes på. Forskningsdeltakerne har en rekke rettigheter etter personopplysningsloven.

Registret

Den som en personopplysning kan knyttes til.

Student (bachelor og master)

En person som skriver bachelor- eller masteroppgaver. Studenten har det daglige ansvaret for det daglige driften av prosjektet.

Veileder (bachelor og master)

En person som er ansatt ved behandlingsansvarlig institusjon og veileder studenter på bachelor- og masternivå

 

C. Behandling og oppbevaring av data

Forskningsområde

Et eget elektronisk lagringsområde for forskning hvor forskningsdata kan oppbevares sikkert etter nærmere definerte rutiner. Forskningsdata som inneholder personopplysninger skal lagres her.

Inntil videre kan forskningsdata lagres på OneDrive, med unntak av strengt fortrolige data som må lagres på sikker sone TSD.

Sikker sone TSD

Med sikker sone menes den eller de delene av virksomhetens informasjonssystem som stiller særlige tilgangskrav (bl.a. dobbel autentisering). Vi bruker TSD som USIT drifter.

Informasjonssikkerhet

Informasjonssikkerhet bygger på tre pilarer:

Konfidensialitet: At informasjonen beskyttes, slik at den ikke tilfaller uvedkommende.

Integritet: At informasjonen er korrekt og har riktig kvalitet, og at den ikke kan endres av uautoriserte.

Tilgjengelighet: At informasjonen er tilgjengelig ved behov

Disse tre pilarene kan komme i konflikt med hverandre, spesielt gjelder dette avveiningen mellom konfidensialitet og tilgjengelighet. (Data)behandlingsansvarlig skal ha definert et akseptabelt risikonivå for behandling av personopplysninger, og all slik behandling må risikovurderes i forhold til dette nivået.

Databehandleravtale

Rettslig dokument som er bindende for databehandleren med hensyn til den behandlingsansvarlige og der gjenstanden for og varigheten av behandlingen, behandlingens art og formål, typen personopplysninger og kategorier av registrerte samt den behandlingsansvarliges rettigheter og plikter er fastsatt (jf. Artikkel 28).

Datahåndteringsplan

En datahåndteringsplan er et verktøy for håndtering av forskningsdata. Den beskriver hvordan data skal håndteres underveis i prosjektperioden og etter at prosjektet er avsluttet. Hensikten er å vurdere og holde oversikt over ulike aspekter ved håndtering av forskningsdata, fra innsamling/generering, prosessering, analyser, dokumentasjon, til lagring og fremtidig deling av data. En datahåndteringsplan skal bidra til at forskningsdata kan håndteres lovlig, strukturert og sikkert, samt kan lagres, gjenbrukes og forstås i fremtiden.

Meldingsarkiv

Prosjekt som meldes til NSD lagres i NSDs meldingsarkiv. Meldingsarkivet inneholder detaljert informasjon om det enkelte prosjekt, bl.a. om formål, utvalg, datakilder og type opplysninger, lagringsform, hjemmelsgrunnlag osv., samt alle relevante saksdokumenter. Samarbeidsavtaler, godkjenninger og vurderinger fra andre personvernombud, sendes post@HiMolde.no.

 

D. Samtykke og innsyn

Formål med forskningsprosjektet

Det formål som ble oppgitt til personvernombudet da prosjektet ble omsøkt og etablert, jf. også forskningsprotokoll/prosjektbeskrivelse.

Samtykke (fra den registrerte)

Enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende.

Bredt samtykke:

Forskningsdeltakere kan samtykke til at person- og helseopplysninger kan brukes til nærmere bestemte, bredt definerte forskningsformål. Så langt formålet tillater det, bør imidlertid den registrerte ha mulighet til å «gi sitt samtykke bare til visse forskningsområder eller deler av forskningsprosjekter». Bredt samtykke krever jevnlig informasjon til prosjektdeltaker om prosjektet.

Innsyn

Forskningsdeltakerens rett til å få vite hvilke opplysninger som behandles om seg selv.

 

 

 

III. Roller og ansvar

A. Hvem

Behandlingsansvarlig

Institusjonens ledelse, ved viserektor for forskning.

 

Dekan

Leder med ansvar for forskning på avdelingsnivå.

 

Prosjektleder/daglig ansvarlig/PhD-student

Ansatt med nødvendig kompetanse til å lede et forskningsprosjekt. Veileder er prosjektleder for studentoppgaver på lavere nivå enn PhD. PhD-kandidater er vanligvis prosjektleder for eget prosjekt.

 

Prosjektmedarbeider

Person med nødvendig kompetanse for å utføre definerte arbeidsoppgaver i prosjektet.

 

Student (bachelor og master)

Student med nødvendig kompetanse for å utføre arbeidsoppgaver i prosjektet, nærmere definert av veileder/prosjektleder.

 

Personvernombud for forskning

HiMolde har en egen stilling/funksjon som personvernombud. Tidligere personvernombud Norsk senter for forskningsdata (NSD) utfører oppgaver som personvernrådgiver for forskning.

 

Veileder (bachelor og master)

En ansatt ved behandlingsansvarlig institusjon som veileder studenter på bachelor- og masternivå

 

B. Ansvar

Behandlingsansvarlig

Overordnet ansvar for å sikre at HiMolde har systemer og nødvendig infrastruktur for å ivareta personvern i forskning og håndtere helseforskningsdata i samsvar med norsk lov og anerkjente forskningsetiske normer.

 

Dekan

Ansvar for at personopplysninger i forskningsprosjekter og helseforskningsdata i prosjekter ved avdelingen håndteres i samsvar med norsk lov, anerkjente forskningsetiske normer og retningslinjer for forskningsprosjekt ved HiMolde.

 

Prosjektleder/daglig ansvarlig/PhD-student/

 

Ansvar for at daglig drift av forskningsprosjektet utføres i samsvar med norsk lov, anerkjente forskningsetiske normer og retningslinjer for forskningsprosjekt ved HiMolde. Ansvar for å informere behandlingsansvarlig og dekan ved avvik, rutinesvikt, interessekonflikter og andre forhold av betydning

 

Prosjektmedarbeider

Ansvar for å gjennomføre forskningsprosjektet i samsvar med norsk lov, anerkjente forskningsetiske normer og retningslinjer for forskningsprosjekt ved HiMolde. Ansvar for å umiddelbart informere prosjektleder ved avvik og rutinesvikt, eller andre forhold av betydning for prosjektgjennomføringen. Be om nødvendig opplæring dersom han/hun ikke føler seg i stand til å ivareta ansvaret beskrevet over

 

Student (bachelor og master)

Ansvar for å gjennomføre forskningsprosjektet i samsvar med norsk lov, anerkjente forskningsetiske normer og retningslinjer for forskningsprosjekt ved HiMolde. Ansvar for å umiddelbart informere veileder ved avvik og rutinesvikt, eller andre forhold av betydning for prosjektgjennomføringen. Studenten har ansvaret for å registrere veilederen sin hos NSD og informere veilederen om dette.

Be om nødvendig opplæring dersom han/hun ikke føler seg i stand til å ivareta ansvaret beskrevet over.

 

Personvernombud

Bidra til at HiMolde følger personopplysningsloven med forskrift. Vurdere og tilrå forsknings- og studentprosjekter i henhold til bestemmelsene i personvernregelverket.

 

Veileder (bachelor og master)

Overordnet ansvar for at studentenes forskningsprosjektet utføres i samsvar med norsk lov, anerkjente forskningsetiske normer og retningslinjer for forskningsprosjekt ved HiMolde. Ansvar for å informere behandlingsansvarlig og dekan ved avvik, rutinesvikt, interessekonflikter og andre forhold av betydning.

 

 

C. Oppgaver

Behandlingsansvarlig

Forskningsadministrasjonen og andre administrative støttetjenester (f.eks. IT) kan være utøvende for oppgavene. Utvikle policy, regler og rutiner, samt nødvendig infrastruktur, for håndtering av personopplysninger i forsker- og studentprosjekt. Etablere og følge opp rutiner for vurdering av personvernkonsekvenser i forskningsprosjekter. Føre en samlet protokoll over alle behandlinger av personopplysninger til forsknings- og kvalitetssikringsformål. Sørge for at det finnes system for opplæring av ansatte, gjesteforskere, studenter og andre som er involvert i forskningsaktiviteten. Utvikle og vedlikeholde tekniske system og løsninger for forsvarlig behandling av forskningsdata. Utvikle nødvendige standarder og maler for kontrakter, avtaler, samtykke osv. Utføre internkontroll av egne forskningsprosjekt.

 

Dekan

Dekan kan delegere oppgaver til lavere nivå (f.eks. prosjektansvarlig) der dette er hensiktsmessig. Sørge for opplæring av prosjektmedarbeidere og studenter ved avdelingen i rutiner for forskning og datasikkerhet. Etablere avdelingsspesifikke rutiner for å sikre at ansatte og studenter følger norsk lov, anerkjente forskningsetiske normer og retningslinjer for forskningsprosjekt ved HiMolde. Avklare og inngå nødvendige avtaler knyttet til forskerprosjekt og studentoppgaver, som f.eks. databehandleravtaler, samarbeidsavtaler, avtaler med ikke-ansatte.

 

Prosjektleder/daglig ansvarlig/PhD-student

Sørge for nødvendig forhåndsvurdering av prosjekter og se til at aktivitet ikke starter opp før vurdering er gjennomført og informasjon om behandlinger av personopplysninger er protokollført gjennom søknad om tilgang til forskningsområde. Sørge for at forskningsprosjekt planlegges, gjennomføres og avsluttes i samsvar med godkjent forskningsprotokoll /prosjektbeskrivelse, norsk lov, anerkjente forskningsetiske normer og retningslinjer for forskningsprosjekt ved HiMolde.

 

Prosjektmedarbeider

 

 

 

 

 

 

Stipendiat

 

Sørge for at nødvendig vurdering og registrering foreligger før forskningsaktiviteten starter opp. Sørge for at forskningsprosjekt planlegges, gjennomføres og avsluttes i samsvar med godkjent forskningsprotokoll/ prosjektbeskrivelse, norsk lov, anerkjente forskningsetiske normer og retningslinjer for forskningsprosjekt ved HiMolde.

 

Stipendiater er prosjektansvarlig i eget ph.d- prosjekt (se prosjektansvarlig)

 

Student (bachelor og master)

Sørge for at nødvendig vurdering og registrering foreligger før forskningsaktiviteten starter opp. Sørge for at forskningsprosjekt planlegges, gjennomføres og avsluttes i samsvar med godkjent forskningsprotokoll/ prosjektbeskrivelse, norsk lov, anerkjente forskningsetiske normer og retningslinjer for forskningsprosjekt ved HiMolde.

 

Personvernombud

NSD, REK og andre kan være utøvende for noen av oppgavene. Gi institusjonen råd om hvordan personvernregelverket kan overholdes og kontrollere at reglene følges. Ivareta den generelle rådføringsplikten. Fange opp behov for personvernkonsekvensvurderinger og forhåndsdrøftinger med Datatilsynet. Veilede og informere den enkelte forsker og student om forskning og personvern.

 

Veileder (bachelor og master)

Påse at nødvendig vurdering og registrering foreligger før studentene starter forskningsaktiviteten. Påse at studentenes forskningsprosjekt planlegges, gjennomføres og avsluttes i samsvar med godkjent forskningsprotokoll/ prosjektbeskrivelse, norsk lov, anerkjente forskningsetiske normer og retningslinjer for forskningsprosjekt ved HiMolde.

 

 

 

IV. Oppstart av forskningsprosjekt under personopplysningsloven

A. Formål

Formålet med rutinen er å sikre at oppstart av forskningsprosjekt ivaretar personvernet i samsvar med Lov om behandling av personopplysninger (personopplysningsloven som gjennomfører personvernforordningen (EU) 2016/679) og generelle forskningsetiske hensyn i tråd med Lov om organisering av forskningsetisk arbeid (forskningsetikkloven).Alle prosjekt som behandler personopplysninger skal meldes inn til NSD.

B. Aktiviteter

  • Prosjektleder utarbeider en prosjektbeskrivelse og en Datahåndteringsplan.
  • Prosjektleder informerer forskningsadministrasjonen om prosjektet.
  • Prosjektleder vurderer om det er nødvendig å behandle personopplysninger i prosjektet og i tilfelle i hvilket omfang. Dersom det er tvil om hva som faller inn under kategorien personopplysninger, anbefales det å gjennomføre meldeplikttesten eller å kontakte NSD
  • Prosjektleder skal sjekke og sikre at prosjektleder selv og prosjektets andre medarbeidere har gjennomført opplæringstilbud i forskningsetikk.
  • Dersom det skal samles personopplysninger i prosjektet, sender prosjektleder meldeskjema med prosjektbeskrivelse og vedlegg til NSD som er HiMolde sin personvernrådgiver i forskning.
  • Prosjektleder avventer vurdering fra NSD før datainnsamling igangsettes.
  • Data som inneholder personopplysninger skal inntil videre lagres på OneDrive, med unntak av strengt fortrolige data som må lagres på sikker sone TSD.
  • Prosjektleder skal sørge for at det foreligger en gyldig databehandleravtale dersom det benyttes eksterne databehandlere. Kontakt personvernombudet for en fullstendig oversikt over hvem vi har avtaler med.
  • Prosjektleder registrerer prosjektet i CRIStin prosjektdatabase.
  • Prosjektet kan starte behandling av personopplysninger, herunder innsamling, registrering, sammenstilling, analyse, utlevering og lagring, når dette er på plass.
  • Dersom prosjektet har medarbeidere som ikke er ansatt på høgskolen, kan det inngås en Samarbeidsavtale.

Når forskere ved HiMolde deltar i prosjekt der andre institusjoner er behandlingsansvarlige, skal de påse at de samme hensyn er ivaretatt ved behandlingsansvarlig institusjon. Samarbeidsavtale (når HiMolde-ansatt er prosjektmedarbeider eller veileder med tilgang til personopplysninger) eller Databehandleravtale (når HiMolde er databehandler) skal undertegnes og sendes post@HiMolde.no sammen med kopi av vurdering fra NSD eller annen personvernrådgiver/personvernombud.

C. Dokumentasjon

Meldeskjema med tilhørende vedlegg og evt. avtaler arkiveres i NSD sitt meldingsarkiv. Alle avtaler som inngås skal sendes til post@HiMolde.no.

V. Oppstart av studentprosjekt (bachelor og master) under personopplysningsloven

A. Formål

Formålet med rutinen er å sikre at oppstart av studentprosjekt ivaretar personvernet i samsvar med Lov om behandling av personopplysninger (personopplysningsloven som gjennomfører personvernforordningen (EU) 2016/679) og generelle forskningsetiske hensyn i tråd med Lov om organisering av forskningsetisk arbeid (forskningsetikkloven).

Alle prosjekt som behandler personopplysninger skal meldes inn til NSD.

B. Aktiviteter

  • Prosjektbeskrivelse og Datahåndteringsplan skal være utarbeidet og godkjent av veileder før oppstart.
  • Veileder og student vurderer nødvendigheten av å behandle personopplysninger i prosjektet. Dersom det er tvil om hva som faller inn under kategorien personopplysninger, anbefales det å gjennomføre meldeplikttesten eller å kontakte NSD/personvernombud.
  • Veileder har ansvar for at student overholder nødvendige forskningsetiske retningslinjer og normer.
  • Når det samles personopplysninger i prosjektet skal studenten selv sørge for at det sendes meldeskjema med prosjektbeskrivelse og vedlegg til NSD som er HiMolde sin personvernrådgiver i forskning. Veileder er ansvarlig og skal påse at dette skjer i henhold til gjeldende reglement
  • Veileder skal sørge for at det foreligger en gyldig databehandleravtale dersom det benyttes eksterne databehandlere.
  • Studenten avventer en vurdering fra NSD før datainnsamling igangsettes.
  • Veileder skal veilede studenten mht. lagring av aktive forskningsdata (eget forskningsområde, Nettskjema, TSD).
  • Når overstående punkt er gjennomført kan behandling av personopplysninger, herunder innsamling, registrering, sammenstilling, analyse, utlevering og lagring på forskningsområdene begynne.

Når studenter ved HiMolde deltar i prosjekter der andre institusjoner er behandlingsansvarlige, skal veileder påse at de samme hensyn er ivaretatt ved behandlingsansvarlig institusjon.

C. Dokumentasjon

Meldeskjema med tilhørende vedlegg og evt. avtaler arkiveres i NSD sitt meldingsarkiv. Alle avtaler som inngås skal sendes til post@HiMolde.no.

 

 

 

VI. Informasjon og samtykke til bruk av personopplysninger i forskning under personopplysningsloven

A. Formål

Som behandlingsansvarlig virksomhet har HiMolde informasjonsplikt overfor deltakerne (de registrerte) i våre forskningsprosjekter. Personopplysninger i forskning skal samles inn og behandles for spesifikke, uttrykkelig angitte og berettigede formål, og skal ikke viderebehandles på en måte som er uforenlig med disse. Behandling skal som hovedregel være basert på et dokumentert samtykke fra forskningsdeltakerne. Fravikelse fra samtykkeregelen kan kun gis iht. Artikkel 6 i personvernforordningen.

B. Aktiviteter

  • Prosjektleder/veileder/student utarbeider informasjonsskriv med tilhørende samtykkeskjema iht. NSD sin mal:
    • Samtykket skal være informert, frivillig og uttrykkelig. Samtykket oppfyller kravene når vilkår for samtykke er ivaretatt og det bygger på spesifikk informasjon om det konkrete forskningsprosjektet. (Mer om samtykke finner du her).
    • Det innhentes bredt samtykke hvis forskningsdeltakerne samtykker til at personopplysningene kan brukes til flere spesifikke formål.
    • For barn under 16 år er behandling av personopplysninger lovlig bare dersom samtykke er gitt eller godkjent av den som har foreldreansvar for barnet.
    • For personer uten samtykkekompetanse (for eksempel mindreårige eller voksne med alvorlig kognitiv svikt) er hovedregelen at nærmeste pårørende informeres og bes om å samtykke.
    • Prosjektleder/veileder/student kan ikke benytte opplysninger om personer som ikke ønsker å delta i prosjektet. Dette gjelder også for frafallsanalyser, med mindre annet er godkjent.

C. Dokumentasjon

Signerte samtykkeerklæringer lagres på det foretrukne lagringsområde så lenge prosjektet er aktivt.

 

 

VII. Oppbevaring av aktive forskningsdata

A. Formål

HiMolde har som behandlingsansvarlig ansvar for å føre protokoll over behandlingsaktiviteter som omfatter personopplysninger, for at data behandles og lagres forsvarlig og kun er tilgjengelig i perioden som er nødvendig for formålet. NSD fører protokoll for behandling av HiMoldes personopplysninger i forskningen.

B. Aktiviteter

  • Ved prosjektstart utarbeider prosjektleder en datahåndteringsplan hvor all behandling av data, fra innsamling til avslutning med sletting, anonymisering og/eller langtidslagring og evt. deling beskrives.
  • Personopplysninger skal så langt det er mulig oppbevares og behandles avidentifisert på HiMolde sin forskningsområde. Det innebærer at forskningsdata og personidentifiserende elementer (koblingsnøkkel) lagres hver for seg. Inntil videre kan forskningsdata lagres på OneDrive, med unntak av strengt fortrolige data som må lagres på sikker sone TSD.
  • Gjennom registreringen autentiserer prosjektleder medarbeidere som skal ha tilgang til forskningsdata gjennom forskningsområdet. Prosjektleder er ansvarlig for at dette skjer i samsvar med samtykke og datahåndteringsplan.
    • Dersom ekstern forskningsmedarbeider skal ha tilgang til forskningsdataene, skal det undertegnes Avtale med ikke-ansatt.
    • Tilgang til koblingsnøkkelen skal vanligvis være begrenset til prosjektleder. Det kan gjøres unntak i særskilte situasjoner der det er avgjørende for gjennomføring av prosjektet.
  • Prosjektleder skal gjøre en risikovurdering ved midlertidig oppbevaring og transport av persondata via mobile lagringsmedier.
    • Papirbaserte forskningsdata lagres i avlåste arkiv. Skanning og lagring av dokumenter på forskningsområdet anbefales når dette er mulig.
    • For spørreundersøkelser benyttes nettbaserte tjenester som automatisk lagrer utfylte skjema på en sikker måte (som f.eks. Nettskjema) når det er mulig.
    • Lyd- og bildeopptak lagres på passordbeskyttede enheter (diktafon/videokamera/mobiltelefon) som ikke er koblet til internett. For lydopptak kan også nettskjemadiktafon benyttes. Lyd- og bildefiler skal lagres hos USITs løsning.
    • Minnepinner skal kun brukes til midlertidig lagring som ved overføring av data fra en enhet til en annen, eller ved utlevering av data til en annen virksomhet. Filene krypteres med passord. Når dataene er overført til forskningsområdet/ slettes de fra minnepinnen.
    • Personopplysninger kan mellomlagres i skytjenester som er spesielt tilrettelagt for dette og som lagrer data innenfor EØS-området. Prosjektleder skal kun benytte skytjenester som tilbys av HiMolde.
  • Prosjektleder er ansvarlig for at det inngås en databehandleravtale med eksterne virksomheter som behandler personopplysninger i prosjektet når HiMolde ikke allerede har en databehandleravtale med virksomheten. Avtalen må godkjennes av dekan.
  • For oppbevaring av data etter prosjektslutt, se Langtidsoppbevaring av forskningsdata, side 23.

C. Dokumentasjon

Alle avtaler som inngås skal sendes til post@HiMolde.no.

 

VIII. Ivaretakelse av forskningsdeltakernes (de registrertes) rett til innsyn, retting og sletting, tilbakekalling av samtykke og reservasjon

A. Formål

Deltakelse i forskningsprosjekter er som hovedregel basert på frivillighet. Enhver som har blitt informert og samtykket til behandling av sine personopplysninger kan kreve innsyn, retting av uriktig registrerte opplysninger, sletting av opplysninger, tilbakekalle samtykke og trekke seg fra videre deltakelse i studien.

B. Aktiviteter

  • Forskningsdeltakere som ønsker innsyn i, retting eller sletting av sine opplysninger, ønsker å trekke samtykket eller reservere seg mot videre behandling kan be om dette uten å måtte oppgi årsak. Henvendelsen skal være skriftlig, datert og undertegnet av forskningsdeltaker eller dennes verge.
  • Prosjektleder behandler henvendelser uten ugrunnet opphold, og senest innen 30 dager. Når en forskningsdeltaker ber om innsyn vurderer prosjektleder om dette skal begrenses eller avslås. Avgjørelsen skal begrunnes. Ved tvil rådfører behandlingsansvarlig seg med personvernombud eller personvernrådgiver.
    • Forskningsdeltakeren har rett til å få uriktige og ufullstendige personopplysninger om seg selv rettet.
    • Forskningsdeltakeren har rett til å få sine personopplysninger slettet dersom opplysningene ikke lenger er nødvendige for formålet eller samtykket tilbakekalles. Andre forhold der dette kan gjelde er beskrevet i Artikkel 17.
    • Dersom en forskningsdeltaker trekker sitt samtykke eller reserverer seg mot deltakelse skal alle opplysninger om deltakeren slettes eller anonymiseres.
  • Forskningsdeltakeren kan klage behandlingsansvarliges avgjørelser inn for Datatilsynet.

C. Dokumentasjon

Henvendelser skal sendes post@HiMolde.no og arkiveres i høgskolens saksarkiv. Skriftlige svar på henvendelser skal også arkiveres.

 

 

IX. Endring av forsknings- eller studentprosjekter under personopplysningsloven

A. Formål

Rutinen skal sikre at behandlingen av personopplysninger i forskningsprosjektet skjer i samsvar med personregelverket.

B. Aktiviteter

  • Ved planlagt vesentlig endring av forskningsprosjekt fra opprinnelig melding må prosjektleder/student levere endringsmelding til NSD.  Dette gjelder f.eks. ved endring av dato for prosjektslutt/anonymisering, utvalg med innvirkning på kriterier for samtykke, typer data, tilføying av metoder eller prosjektorganisering.
  • Prosjektleder/student kan ikke gjennomføre endringen før endringsmeldingen er godkjent.
  • Prosjektleder/student oppdaterer registreringsskjema for opplysninger på forskningsområde.
  • Dersom endringen er så omfattende at det anses å få innvirkning på behandlingens lovlighet, bør prosjektet vurderes på nytt. Prosjektleder/veileder/student må da sende nytt meldeskjema. Se Oppstart av forskningsprosjekt under personopplysningsloven/ Oppstart av studentprosjekt under personopplysningsloven.

C. Dokumentasjon

Korrespondanse med personvernrådgiver lagres i NSD sitt meldingsarkiv. Annen korrespondanse sendes til post@HiMolde.no.

 

X. Avslutning av forskningsprosjekt under personopplysningsloven

A. Formål

Behandling av personopplysninger i forskning er av midlertidig art og behandlingsansvarlig skal ikke behandle eller lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre prosjektets formål.

B. Aktiviteter

  • Prosjektleder er ansvarlig for at personopplysningene behandles i tråd med prosjektets Datahåndteringsplan ved prosjektslutt. Dette innebærer som oftest at data anonymiseres eller slettes.
  • Der fortsatt oppbevaring av forskningsdata etter prosjektavslutning er ønskelig følges Langtidsoppbevaring av forskningsdata. Dette er aktuelt der det planlegges bruk i andre forskningssammenhenger eller oppfølgingsstudier. Flere finansieringskilder krever også langtidsoppbevaring og deling av data ved prosjektslutt.
  • Prosjektleder leverer statusrapport til NSD ved avslutning av prosjektet, påminning sendes fra NSD. NSD følger opp prosjektene for å se til at data er slettet, anonymisert og/eller lovlig arkivert ved prosjektslutt.

C. Dokumentasjon

Statusrapport lagres i NSD sitt meldingsarkiv. Annen dokumentasjon arkiveres hos HiMolde.

 

XI. Avslutning av studentprosjekt under personopplysningsloven

A. Formål

Behandling av personopplysninger i forskning er av midlertidig art og behandlingsansvarlig skal ikke lagre opplysninger lenger enn det som er nødvendig for gjennomføring av prosjektets formål.

 

B. Aktiviteter

  • Studenten skal sørge for at personopplysningene behandles i tråd med prosjektets Datahåndteringsplan ved prosjektslutt. Dette innebærer som oftest at data anonymiseres eller slettes. Studenten skal utføre arbeidet, men veileder er ansvarlig og skal påse at gjeldende regler blir fulgt.
  • Der fortsatt oppbevaring av forskningsdata etter prosjektavslutning er ønskelig følges Langtidsoppbevaring av forskningsdata. Dette er aktuelt der det planlegges bruk i andre forskningssammenhenger eller oppfølgingsstudier. Flere finansieringskilder krever også langtidsoppbevaring og deling av data ved prosjektslutt.
  • Studenten skal sørge for at det leveres statusrapport til NSD ved avslutning av prosjektet. Veileder er ansvarlig og skal påse at gjeldende regler blir fulgt. NSD følger opp prosjektene for å se til at data er slettet, anonymisert og/eller lovlig arkivert ved prosjektslutt.

C. Dokumentasjon

Statusrapport lagres i NSD sitt meldingsarkiv. Annen dokumentasjon arkiveres hos HiMolde.

 

 

XII. Overføring av personopplysninger og helseforskningsdata til prosjekt utenfor egen virksomhet

A. Formål

HiMolde skal sikre rettmessig overføring av personopplysninger og helseforskningsdata fra prosjekt der HiMolde er/har vært behandlingsansvarlig, til bruk i prosjekt der en annen institusjon er behandlingsansvarlig.

B. Aktiviteter

  • HiMolde ved prosjektleder kan overføre personopplysninger og helseforskningsdata til ekstern virksomhet dersom dette er innenfor behandlingens lovlighet.
  • Søknad om overføring av personopplysninger og helseforskningsdata/helseopplysninger skal rettes skriftlig til HiMolde ved viserektor for forskning, som fatter vedtak om overføring.
    • Bekreftelse på gyldig behandlingsgrunnlag, en spesifikasjon av hvilke personopplysninger som søkes utlevert og hvordan disse skal oppbevares skal legges ved.
    • HiMolde vurderer om opprinnelig informasjonsskriv og samtykkeerklæring rommer overføringen.
    • Spørsmål om overføring av registerdata som HiMolde har mottatt fra ekstern virksomhet skal rettes til det opprinnelige registeret.
  • Prosjektleder sammenstiller personopplysningene og helseforskningsdataene før overføring, evt. kan dette gjøres av databehandler etter avtale.
    • Personer som ikke er underlagt HiMolde sin instruksjonsmyndighet kan ikke gis tilgang til HiMolde sin forskningsområder for selv å hente ut opplysningene.
  • Ved overføring må prosjektleder påse at:
    • Dersom opplysningene skal overføres avidentifisert skal det opprinnelige koblingsnummeret erstattes med et nytt. De utleverte koblingsnumrene oppbevares sammen med koblingsnøkkelen.
    • Overføring av avidentifiserte data via minnepenn eller CD/DVD sendes rekommandert i to forsendelser med koblingsnøkkel og data hver for seg, fortrinnsvis kryptert.
    • Løsninger for utleveringer via skytjenester skal være risikovurdert og tilfredsstiller HiMolde sine krav til akseptert risikonivå, jf. skytjenester tilbudt av HiMolde.
    • Ved utlevering til land utenfor EØS (tredjestater eller internasjonale organisasjoner) skal dette skje i henhold til Artiklene 44-50, og utlevering skal dokumenteres. Prosjektleder har dialog med NSD eller personvernombud for å sikre lovlig utlevering.
  • Dersom uautorisert utlevering av personopplysninger har skjedd skal prosjektleder omgående informere behandlingsansvarlig som må varsle Datatilsynet, se Håndtering av avvik og brudd på personopplysningssikkerheten.

C. Dokumentasjon

Dokumentasjon sendes post@HiMolde.no.

 

 

XIII. Langtidsoppbevaring av forskningsdata

A. Formål

Personopplysninger skal lagres slik at det ikke er mulig å identifisere forskningsdeltakerne i lengre perioder enn det som er nødvendig for prosjektets formål. Langtidsoppbevaring er særlig aktuelt for anonyme data slik at disse kan deles og utnyttes videre i vitenskapelig forskning, eller i personidentifiserbar form der det foreligger oppbevaringsplikt eller ønske om oppfølgingsstudier.

B. Aktiviteter

  • Prosjektleder skal påse at oppbevaring etter prosjektslutt er i samsvar med informasjons- og samtykkeskriv, datahåndteringsplan, kontrakt med oppdragsgiver o.a.
  • Prosjektleder skal sørge for at dataene klargjøres, anonymiseres eller på andre måter bearbeides for langtidsoppbevaring i god tid før prosjektet avsluttes. Når det ikke foreligger oppbevaringsplikt i medhold av lov eller forskrift, kan fortsatt oppbevaring av personopplysninger til forskningsformål kun skje etter godkjenning fra NSD/Datatilsynet.
  • HiMolde tilbyr ikke en permanent arkiveringsløsning av forskningsdata for forskere og studenter.  Vi ber prosjektledere som ønsker å arkivere sine forskningsdata å ta kontakt med forskningsadministrasjonen for veiledning om hvor og hvordan forskningsdata bør arkiveres:
    • Elektroniske data kan langtidsoppbevares hos eksterne virksomheter som er godkjent for dette, som for eksempel NSD eller Statistisk sentralbyrå (SSB).
    • Prosjekter som er finansiert av Norges forskningsråd (NFR) skal arkivere sine forskningsdata hos NSD.
    • Enkelte personopplysninger kan være oppbevaringspliktige etter journalforskriften og/eller arkivloven. Fortsatt oppbevaring etter dette kriteriet krever at opplysningene kun lagres i henholdsvis pasientjournalsystem og/eller høgskolen sin forskningsområde.
  • Prosjektleder skal ikke slette kildedata eller andre forskningsdata og dokumenter dersom tilsynsmyndighetene har åpne saker tilknyttet forskningsprosjektet, eller dersom prosjektdeltaker(e) er under mistanke om uredelighet i forskning.

C. Dokumentasjon

All dokumentasjon sendes post@HiMolde.no.

 

 

XIV. Internkontroll av forskningsprosjekter

A. Formål

HiMolde har som behandlingsansvarlig ansvar for å gjennomføre internkontroll i form av planlagte og systematiske tiltak som er nødvendig for å sikre at behandlingen av person- og helseopplysninger i forskning er i samsvar med personvernregelverket, helseforskningsloven, forskningsetiske normer og HiMolde sine retningslinjer.

B. Aktiviteter

  • Internkontrollen kan gjennomføres av forskningsadministrasjonen. Kontrollen omfatter:
    • Regelmessige stikkprøver av aktive forskningsprosjekter.
    • Kontroll av et tilfeldig utvalg forskningsprosjekt. Prosjektene som kontrolleres skal omfatte alle typer prosjekt fra alle avdelinger, inkludere forsker- og studentprosjekt, prosjekt med ulik finansieringsform og representere ulike prosjektfaser (oppstart, under gjennomføring og avsluttet).
  • Basert på protokoll/prosjektbeskrivelse og samtale med prosjektleder vurderer forskningsadministrasjonen særlig om prosjektet:
    • Behandler person- og helseopplysninger, og om dette er vurdert og anbefalt av NSD/REK før oppstart.
    • Om behandling og lagring av person- og helseopplysningene er i tråd med HiMolde sine retningslinjer, og om det er samsvar mellom registrerte og faktisk lagrede opplysninger.
    • Om prosjekt med personopplysninger og helseforskningsdata er avsluttet på riktig måte, evt. lagret iht. andre avtaler om langtidslagring ved prosjektslutt, se Langtidslagring av forskningsdata.
    • Dersom internkontrollen avdekker avvik skal forskningsadministrasjonen straks sette i verk egnede tekniske og organisatoriske tiltak for å sikre at person- og helseopplysninger behandles i samsvar med regelverket, se Håndtering av avvik og brudd på personopplysningssikkerheten

C. Dokumentasjon

  • Liste over forskningsprosjekt som er tildelt forskningsmidler/FoU-tid
  • Liste over forskningsprosjekt fra NSD, med tilleggsinformasjon og dokumentasjon
  • Liste over forskningsprosjekt fra REK, med tilleggsinformasjon og dokumentasjon
  • Liste over avsluttede forskningsprosjekt
  • Revisjonsrapport
  • Ev. avviksmeldinger

 

 

XV. Håndtering av avvik og brudd på personopplysningssikkerheten

A. Formål

HiMolde skal som behandlingsansvarlig/forskningsansvarlig gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen av personopplysninger i forskningsprosjekt skjer i samsvar med personvernregelverket.

B. Aktiviteter

  • Den som oppdager eller gjøres kjent med avvik eller brudd på personopplysningssikkerheten, enten gjennom deltakelse i prosjektet, internkontroll eller annet skal umiddelbart melde dette til HiMolde ved viserektor for forskning. Avvik eller brudd kan være manglende tillatelser, tillatelser som ikke er dekkende, behandling av personopplysninger etter at tillatelser er utløpt, dårlig informasjonssikkerhet og i verste fall at uautoriserte personer eller virksomheter har fått tilgang til personidentifiserende forskningsdata.
  • HiMolde ved forskningsadministrasjonen og ledelsen følger umiddelbart opp og begrenser krisen ved iverksetting av nødvendige strakstiltak.
  • Forskningsadministrasjonen kartlegger hendelsen, vurderer om involverte parter skal varsles og innfører skadeopprettende tiltak. Om nødvendig involveres prosjektleder, NSD/REK, IT-avdelingen, Datatilsynet, Helsetilsynet og evt. politiet.
  • Så snart HiMolde får kjennskap til at det har oppstått et brudd på personopplysningssikkerheten, meldes nevnte brudd til tilsynsmyndigheten uten ugrunnet opphold og om mulig senest 72 timer etter gjeldende rutiner.
  • For å hindre gjentakelse gjør forskningsadministrasjonen, sammen med HiMolde sin ledelse og personvernombud, en grundig analyse av hvorfor avviket skjedde og vurderer risikoen for gjentakelse. Ved behov skal eksisterende retningslinjer revideres og eventuelt nye utvikles. Det skal også vurderes om ytterligere opplæring av prosjektleder, prosjektmedarbeidere, samarbeidspartnere eller databehandlere er nødvendig.
  • Avviket dokumenteres og lukkes.

C. Dokumentasjon

 

[1] Retningslinjer for vern og utveksling av personopplysninger og helseforskningsdata for Høgskolen på Vestlandet er brukt som mal for disse retningslinjene, med enkelte mindre tilpasninger. Godkjent av rektor Steinar Kristoffersen d. 4.mars 2019 etter innstilling fra Forskningsutvalget d. 21.02.2019

Publisert 10. sep. 2020 14:36 - Sist endret 16. feb. 2022 14:17