Definisjoner og begreper

Enhver behandling av personopplysninger som er foretatt i andre øyemed enn forskning. Dette omfatter behandlinger av personopplysninger for å administrere tilsattes, studenters og andres forhold til universitetet, også når disse opplysningene brukes som ledd i kvalitetssikring, samt andre behandlinger med hjemmel i universitets- og høyskoleloven. Tilsvarende er behandlinger som utføres i kvalitetssikringsøyemed i helsetjenesten å regne som administrative behandlinger.

Opplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger, direkte eller indirekte, kan knyttes til en enkeltperson.

Personopplysninger der navn, fødselsnummer og andre direkte personentydige kjennetegn er fjernet og erstattet av et nummer, kode, slik at opplysningene ikke umiddelbart kan knyttes til en enkeltperson, og hvor identitet bare kan tilbakeføres ved sammenstilling med de samme opplysninger som tidligere ble fjernet. Avidentifiserte opplysninger er indirekte personidentifiserende opplysninger. 

Enhver håndtering av personopplysninger som ikke er i henhold til gjeldende regelverk, for eksempel manglende oppfyllelse av tidligere gitte konsesjonsvilkår, retningslinjer og/eller prosedyrer, samt andre sikkerhetsbrudd. 

Enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk utlevering ved overføring, spredning eller andre former for tilgengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring. 

Se også Administrativ behandling og Behandling som ledd i forskning. Anonymisering av opplysninger er også å anse som behandling.

Enhver behandling av helse- og personopplysninger som er foretatt i forskningsøyemed.

En fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandling av personopplysninger og hvilke midler som skal benyttes. UiB er behandlingsansvarlig i de aller fleste tilfellene der det behandles personopplysninger ved UiB.

Dersom to eller flere behandlingsansvarlige i fellesskap fastsetter formål og midler som skal brukes skal de være felles behandlingsansvarlige. 

Ved UiB er rektor behandlingsansvarlig for behandling av personopplysninger i forskning. 

Den som utøver behandlingsansvarliges daglige ansvar på vegne av rektor, i henhold til delegasjon

Kalles også rettslig grunnlag for behandling av personopplysninger, og er et vilkår etter personvernforordningen. Enhver behandling må ha et behandlingsgrunnlag i samsvar med artikkel 6 og/eller artikkel 9. Kravene i artikkel 6 gjelder bestandig, kravene i artikkel 9 gjelder særlige kategorier personopplysninger. For særlige kategorier personopplysninger må både kravene i artikkel 6 og artikkel 9 være oppfylt. Hver behandling av personpplysninger kan trenge flere typer behandlingsgrunnlag. Også andre vilkår som formål og opplysningskvalitet må oppfylles.

Når behandlingen utføres på grunnlag av artikkel 6 nr. 1 c) å oppfylle en rettslig forpliktelse, eller artikkel 6 nr. 1 e) utøve en oppgave i allmennhetens interesse eller utøve offentlig myndighet, er det krav i artikkel 6 nr. 3 om supplerende rettsgrunnlag i nasjonale bestemmelser (lov eller forskrift) eller i vedtak i medhold av lov eller forskrift. 

Journal- og informasjonssystem eller annet helseregister som har til formål å gi grunnlag for handlinger som har forebyggende, diagnostisk, behandlende, helsebevarende eller rehabiliterende mål i forhold til den enkelte pasient og som utføres av helsepersonell, samt administrasjon av slike handlinger.

Brukes synonymt med Humant biologisk materiale

Forskningsdeltakere kan samtykke til at humant biologisk materiale og helse- og personopplysninger kan brukes til nærmere bestemte, bredt definerte forskningsformål. Bredt samtykke krever jevnlig informasjon til prosjektdeltaker om prosjektet.

En ekstern fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige. Forholdet mellom Behandlingsansvarlig og Databehandler er regulert i personvernforordningen artikkel 28. 

Når UiB bruker eksterne leverandører til å behandle personopplysninger på vegne av virksomheten, må forholdet mellom behandlingsansvarlig virksomhet og databehandleren reguleres i en databehandleravtale, jf. personvernforordningen artikkel 28. En databehandler kan ikke behandle personopplysninger på en annen måte enn det som er skriftlig avtalt med den behandlingsansvarlige. Den behandlingsansvarlige skal bare bruke databehandlere som gir tilstrekkelige garantier for at de vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i personvernforordningen og vern av den registrertes rettigheter.

Med eksport av data menes her enhver tilgjengeliggjøring av data foruten til eget system/behandling eller til den registrerte selv eller noen som mottar data på dennes vegne. For eksport av data utenfor EU/EØS, se Overføring til tredjeland utenfor EØS

se GDPR

Det formål som ble oppgitt til personvernombud/rådgiver eller REK da prosjektet ble omsøkt og etablert, og som følger av forskningsprotokollen

Institusjon eller en annen juridisk eller fysisk person som har det overordnede ansvaret for forskningsprosjektet, og som har de nødvendige forutsetningene for å kunne oppfylle den forskningsansvarliges plikter etter loven. Dersom egen virksomhet ikke er forskningsansvarlig for et forskningsprosjekt, er prosjektet å regne som eksternt. Samarbeidsprosjekt skal være nedfelt i samarbeidsavtale. 

En samling humant biologisk materiale som anvendes i et forskningsprosjekt eller skal anvendes til forskning.

Helse- og personopplysninger om, eller opplysninger om humant biologisk materiale fra en forskningsdeltaker som skal inngå i forskning.

Det enkeltindivid (den personen) hvis opplysninger /biologisk materiale det forskes på. Forskningsdeltakere har en rekke rettigheter etter personvernregelverket og helseforskningsloven, enten prosjektet er basert på samtykke (hovedregelen i medisinsk og helsefaglig forskning) eller ikke-samtykkebasert. 

Hva som er å betegne som et forskningsprosjekt er nærmere beskrevet i en forskningsprotokoll. Et prosjekt kan ha flere forskningsprotokoller. Ved endringer i forskningsprotokollen som medfører endring i prosjektet, er prosjektet å betrakte som et nytt prosjekt, jf. Rutine for oppstart av forskningsprosjekt. Andre endringer i forskningsprotokollen skal meldes til hhv personvernombud/rådgiver eller REK

Et eget område for forskning hvor forskningsdata kan oppbevares sikkert, etter nærmere definerte rutiner, se Sikker lagring. SAFE er UiBs forskningsserver.

The General Data Protection Regulation (GDPR) vedtatt 25. mai 2018, erstatter EUs personverndirektiv fra 1995. Forordningen har som mål å styrke og forene personvernet for individer innenfor EU. Det omhandler også eksport av personopplysninger til områder utenfor EU. Hovedmålet er å gi borgere tilbake kontrollen over personopplysninger og å forenkle regelverket for virksomheter ved å ha ett regelverk som gjelder innenfor unionen.

Virksomhet som utføres med vitenskapelig metodikk for å skaffe til veie ny kunnskap om helse og sykdom, jfr. helseforskningsloven § 4 a).

Praktiske rutiner for medisinsk og helsefaglig forskning, som skal sikre at helseforskning gjennomføres i henhold til gjeldende lovverk. Helseforskningsrutinene er utviklet i samarbeid med Helse Bergen, og skal blant annet sikre en tydelig ansvarsavklaring i prosjekter der begge institusjoner er involvert. UiBs rutiner for helseforskning er integrert i de generelle forskningsrutinene ved UiB

Personopplysninger om en fysisk persons fysiske eller psykiske helse, herunder om ytelse av helsetjenester, som gir informasjon om vedkommendes helsetilstand. Helseopplysninger er taushetsbelagte opplysninger i henhold til helsepersonelloven § 21. Helseopplysninger inngår i oversikten over særlige kategorier personopplysninger i personvernforordningen, jf. artikkel 9 nr. 1.

Registre, fortegnelser mv. der helseopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen.

Prosjekter som gjelder helsetjenesteforskning omfattes ikke av helseforskningsloven. Bruk av helseopplysninger til forskning forutsetter at den som eier opplysningene har tillatelse til å utlevere dem. Slik tillatelse kan være hjemmel i lov eller forskrift.

I andre tilfeller vil forsker måtte innhente dispensasjon fra taushetsplikt for å få tilgang til data. Slik dispensasjon er regulert i helsepersonelloven §§ 29 - 29c. Departementet har delegert myndigheten til å dispensere fra taushetsplikten til den regionale etiske komité (REK). Slike prosjekter er underlagt rådføringsplikt med personvernombud/rådgiver, fordi de omfatter særlige kategorier personopplysninger, jfr. personopplysningsloven § 9 og § 10. 

Organer, deler av organer, celler og vev og bestanddeler av slikt materiale fra levende og døde mennesker.

Med import av data menes her innsamling av data fra enhver annen kilde enn innenfor eget system/behandling og/eller innhenting fra den registrerte selv eller noen som avgir data på dennes vegne.

Bakgrunnsopplysninger som kan gjøre det mulig å spore opplysningene tilbake til en enkeltperson, f.eks. bostedskommune eller institusjonstilknytning kombinert med opplysninger om alder, kjønn, yrke, nasjonalitet eller annet. 

Opprettholdelse av et adekvat nivå av konfidensialitet, integritet og tilgjengelighet for alle informasjonsressurser tilhørende UiB.  Databehandlingsansvarlig skal ha definert et akseptabelt risikonivå for behandling av personopplysninger

Innebygd personvern betyr at det tas hensyn til personvern i alle utviklingsfaser av et system eller en løsning. 

Forskningsdeltakerens eller den registrertes rett til å få vite hvilke opplysninger som behandles om seg selv og for hvilke formål, jfr. personvernforordningen artikkel 15, med de begrensninger som følger av personopplysningsloven § 17 for forskning. 

se Informasjonssikkerhet

Planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av personopplysningsloven, herunder sikre personopplysningenes kvalitet. Den behandlingsansvarlige skal etablere og vedlikeholde internkontrollsystemet, og dokumentere tiltakene som utgjør internkontrollsystemet. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda

”...vedvarende eller regelmessig gjentatt personovervåking ved hjelp av fjernbetjent eller automatisk virkende videokamera, fotografiapparat eller lignende apparat"

se Informasjonssikkerhet

se Meldeplikt

Kvalitetssikringsarbeid er en lovpålagt oppgave. Dette gjelder kvalitetssikringsprosjekter i helsetjenesten, og oppgaver som utføres med hjemmel i uhl. § 1-6, f.eks. studentundersøkelser.

Oppbevaring av personopplysninger etter prosjektslutt. Opplysninger må oppbevares hos en godkjent arkivinstitusjon, f.eks. Norsk senter for forskningsdata (NSD) eller Statistisk sentralbyrå (SSB)

se Helseforskning

Den tidligere ordningen med meldeplikt og konsesjonsplikt er bortfalt med GDPR. Det betyr at tidligere gitte konsesjoner fra Datatilsynet med krav og vilkår ikke gjelder lenger. I praksis betyr dette at selve adgangen til å behandle personopplysninger ikke er falt bort, forutsatt at tidligere konsesjonsvilkår overholdes. 

Ansvaret for behandlng av personopplysninger er flyttet til virksomhetene, og behandlingsansvarlig må selv vurdere om en behandling av personopplysninger er tillatt, og har plikt til å vurdere persovnernkonsekvenser. 

Forskningsprosjekt som er basert på én forskningsprotokoll, hvor forskningsprosjektet utføres ved flere virksomheter samtidig.

Den nasjonale forskningsetiske komité for medisin og helsefag. NEM er klageinstans for avgjørelser gjort av REK

Dekker skader påført pasienter av helsepersonell som yter helsehjelp i henhold til offentlig autorisasjon eller lisens, personer som opptrer på vegne av disse, personer som har rett til å utøve yrke som helsepersonell midlertidig i Norge uten norsk autorisasjon, lisens eller spesialistgodkjenning eller andre personer som er fastsatt i forskrift. All forskning som gjennomføres av helsepersonell i offentlig og privat sektor omfattes av NPE. Det betyr at NPE også dekker universitetet. Dette gjelder både pasienter og friske forsøkspersoner.

Norsk senter for forskningsdata, leverandør av personverntjenester. NSD yter personverntjenester til UiB etter avtale med institusjonen. Prosjekter som har rådføringsplikt med personvernombud kan oppfylle den ved gjennomgått vurdering hos NSD.

NSDs meldingsarkiv gir en institusjoner en oversikt over behandlingen av personopplysninger i forskningsprosjektene der NSDs personverntjenester er benyttet for rådføring, etter avtale med institusjonen.

Prosjektene følges fra forsker har sendt inn melding til NSD før oppstart, gjennom eventuelle endringer i prosjektopplegget, og frem til prosjektene avsluttes og personopplysningene slettes eller lagres videre i tråd med nødvendige tillatelser. Meldingsarkivet innholder detaljert informasjon om det enkelte prosjekt, bl.a. om formål, utvalg, datakilder og type opplysninger, lagringsform, hjemmelsgrunnlag osv., samt alle relevante saksdokumenter. Prosjekter som har gjennomgått vurdering hos NSD importeres automatisk til RETTE etter fullført vurdering. Eventuelle endringer gjøres via Meldingsarkivet. 

Personopplysninger kan behandles hvis det er "nødvendig", jfr artikkel 6 nr. 1 b) - f). Dette omfatter grunner som avtale, rettslig forpliktelse, vitale interesser, oppgaver i allmennhetens interesse, utøvelse av offentlig myndighet eller berettiget interesse. Ved berettiget interesse stilles det krav om interesseavveiing, jf. artikkel 6 nr. 1 f), og får ikke anvendelse på behandlinger som utføres av offentlige myndigheter under utførelse av deres oppgaver. For å vurdere om nødvendighetskriteriet er oppfylt må det begrunnes at behandlingen av personopplysninger er hensiktsmessig og relevant for å oppfylle formålet. 

Behandling av personopplysninger i forskningsprosjekter vil ofte være begrunnet ut fra nødvendighetskriteriet, ettersom forskning er definert som en oppgave som utføres i allmennhetens interesse. For oppgaver som utføres for oppfylle en rettslig forpliktelse, i allmennhetens interesse eller utøvelse av offentlig myndighet, kreves det supplerende rettslig grunnlag i nasjonale bestemmelser. For forskning er dette gitt adgang til å behandle personopplysninger for forskningsformål i den nye personopplysningsloven § 8. 

se Sikker lagring og Informasjonssikkerhet

Prosjektleder har ansvar for at aktive forskningsdata - personopplysninger og humant biologisk materiale - og eventuell koblingsnøkkel er forsvarlig oppbevart. Hvordan oppbevaring av aktive forskningsdata skal skje, må være avklart før datainnsamlingen påbegynnes. Ved bruk av UiBs eget system SAFE (Sikker Adgang til Forskningdata og E-infrastruktur) i medisinsk og helsefaglig forskning, og andre forskningsprosjekter som involverer sensitive personopplysninger, vil en rekke av de sikkerhetsmessige kravene som personopplysningsloven og helseregisterloven stiller, automatisk bli oppfylt gjennom de datatekniske løsningene og den sikkerhetsarkitekturen som er valgt.

Virksomheter som vil overføre personopplysninger til utlandet, kan bare overføre til stater som sikrer en forsvarlig behandling av opplysningene. Landene innenfor EU/EØS-området er anerkjent som stater som sikrer at personopplysningene behandles forsvarlig, og derfor kan man overføre personopplysninger til disse statene, forutsatt at personopplysningslovens øvrige vilkår er oppfylt. Det samme gjelder land som Europakommisjonen har godkjent  (Kilde: Datatilsynet, https://www.datatilsynet.no/Regelverk/Internasjonalt/Overfoering/). 

Alle typer opplysninger og vurderinger som kan knyttes til en fysisk person, enten direkte eller indirekte, f.eks. navn, identifikasjonsnummer, nettidentifikator, IP-adresse, ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet. 

Opplysninger som ikke alene kan knyttes til en enkeltperson, kan i tilfeller hvor opplysningen kobles sammen med andre data, utgjøre en personopplysning. Navn, fødselsnummer, studentnummer, kandidatnummer, ansattnummer, e-postadresse, genetiske opplysninger, lydopptak, IP-adresse, aktivitetslogger, kallenavn i sosiale media og på internett er eksempler på personopplysninger. Bilder, film og video som avbilder fysiske personer er også personopplysninger. 

Pseudonymiserte opplysninger, som innebærer at opplysningene kan knyttes til en enkeltperson uten bruk av tilleggsopplysninger, er personopplysninger da de kan kobles til en enkeltperson ved hjelp av en koblingsnøkkel.

Den norske personopplysningsloven, vedtatt 20. juli 2018, som implementerer GDPR i norsk lov. Personopplysningsloven inneholder tilleggsbestemmelser som er relevante for forskning, herunder § 8 (adgang til å behandle personopplysninger for forskning), §§ 9 - 11 (rådføringsplikt med personvernombud/rådgiver) og § 17 (unntak fra den registrertes rettigheter). 

Opprettholdelse av et adekvat nivå av konfidensialitet, integritet og tilgjengelighet for alle personopplysninger som UiB er behandlingsansvarlig for. Et brudd på personpplysningssikkerheten er et informasjonssikkerhetsbrudd som har ført til en utilsiktet og/eller ulovlig ødeleggelse, tap, endring, uautorisert utlevering av, og/eller tilgang til personopplysninger.

Enhver strukturert samling av personopplysninger som er tilgjengelig etter særlige kriterier, enten samlingen er plassert sentralt, er desentralisert eller spredt på et funksjonelt eller geografisk grunnlag, jfr. personvernforordningen artikkel 4 nr. 6). 

se GDPR

Et uavhengig ombud, hvis hovedoppgave er å informere og gi råd om de forpliktelsene virksomheten har etter personvernlovgivningen til den behandlingsansvarlige eller databehandleren, samt til de ansatte eller andre som utfører behandlingen av personopplysninger. 

Når en det behandles særlige kategorier personopplysninger, samt opplysninger om straffedommer og lovovertredelser, for forskningsformål, har den behandlingsansvarlige plikt til å rådføre seg med personvernombudet eller annen som oppfyller vilkårene, jfr. personopplysningsloven §§ 9 - 10. UiB har avtale med NSD (Norsk senter for forskningsdata) for personverntjenester i forskning, heretter kalt personvernrådgiver. 

Inntreffer når forskningsdata skal anonymiseres, slettes eller langtidsoppbevares. Nøyaktig dato er oppgitt i godkjenning fra personvernombud eller REK. Dersom forskningsprosjektet ikke er avsluttet innen oppgitt dato må rutine for prosjektendring følges. 

se Forskningsdeltaker

Definisjonen i helseforskningsloven lyder: "En fysisk person med ansvar for den daglige driften av forskningsprosjektet, og som har de nødvendige forskningskvalifikasjonene og erfaringer for å kunne oppfylle prosjektlederens plikter etter denne loven." (hfl. § 4 f)) 

Prosjektmedarbeidere er alle som er involvert i prosjektet (forskere, doktorgradsstudenter og studenter). Student på lavere nivå enn doktorgrad skal være prosjektmedarbeider og kan ikke være prosjektleder.

Behandling av personopplysninger på en slik måte at personopplysningene ikke lenger kan knyttes til en bestemt person uten bruk av tilleggsopplysninger, forutsatt at nevnte tilleggsopplysninger lagres adskilt og omfattes av tekniske og organisatoriske tiltak som sikrer at personopplysningene ikke kan knyttes til en identifisert eller identifiserbar fysisk person. 

Den som en personopplysning kan knyttes til.

Regional komité for medisinsk og helsefaglig forskningsetikk. REK er delt inn i regionale avdelinger. REK Vest har ansvar for Vest-Norge, men saker fordeles mellom REK'ene etter kapasitet. REK godkjenner medisinsk og helsefaglig forskning på mennesker, humant biologisk materiale eller helseopplysninger, inkludert pilotstudier og utprøvende behandling.

UiBs eget system (forskningsserver) for sikker lagring av sensitiv persondata i forskningsprosjekter.

Virksomhetens formelle saksarkiv, der alle formelle brev, notat og sluttrapporter tilknyttet saker skal arkiveres enten de er sendt elektronisk eller på papir.

Enhver frivillig, spesifikk, informert og utvetydig viljesytring. Samtykke er et av flere mulige rettslige grunnlag etter personvernforordningen. Det må alltid vurderes hvilket rettslig grunnlag er det mest egnede, basert på formålet med behandlingen. 

Ut fra et forskningsetisk perspektiv vil alltid hovedregelen være frivillig deltakelse basert på et informert samtykke. Etter personvernregelverket vil det juridiske grunnlaget for informasjonsbehandlingen for forskningsformål som regel ikke være samtykke, men at behandlingen av personopplysninger for formål knyttet til vitenskapelig forskning er en oppgave i allmennhetens interesse, se Nødvendighet som rettslig grunnlag. 

Skytjenester (cloud computing) er en samlebetegnelse på alt fra dataprosessering og datalagring til programvare på servere som er tilgjengelig fra eksterne serverparker tilknyttet internett. Serverparker kjennetegnes ved at de er laget for dynamisk skalering. Det betyr at datakraft kan tilpasses kapasitetsbehov, og kunden betaler for det den faktisk bruker. Mange eksterne serverparker står utenfor Norges grenser. En stor utfordring for virksomhetene som bruker slike tjenester er å sørge for at avtalen med skytjeneste-leverandøren er i samsvar med norsk lovgivning. (Kilde: Datatilsynet)

Prinsippet om lagringsbegrensning innebærer at personopplysninger skal slettes eller anonymiseres når de ikke lenger er nødvendige for formålet de ble innhentet for. 

Statens legemiddelverk

Oppgaver som utføres i forbindelse med bachelorgrad/hovedfag/mastergrad ved høyskole eller universitet. Doktorgradsstudier defineres som ordinære forskningsprosjekt. 

(Tidligere kalt 'sensitive personopplysninger') Opplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, filosofisk eller religiøs overbevisning eller fagforeningsmedlemskap, behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering. 

Plikt til å hindre andre å få adgang eller kjennskap til visse opplysninger. Taushetsplikt kan følge av lov, instruks eller avtale. 

se også Informasjonssikkerhet

Prosjektleder kan utlevere personopplysninger, herunder helseopplysninger, dersom den eksterne virksomhet har selvstendig behandlingsgrunnlag. Det vil enten være til samarbeidende forskere hvis den enkelte har samtykket til å delta i prosjektet og til at data kan deles med samarbeidende forskere, og at utleveringen er omfattet av REKs godkjenning (helseforskning). Det forutsettes at det foreligger en samarbeidsavtale mellom partene og at ansvaret for behandling av personopplysninger er avklart i henhold til personvernforordningen artikkel 26. Alternativt at den mottakende parten har eget behandlingsgrunnlag f.eks. vedtak om dispensasjon fra REK.

Dersom en ekstern virksomhet skal bearbeide eller drifte data på vegne av prosjektet, er behandlingsgrunnlaget avledet fra den behandlingsansvarliges behandlingsgrunnlag, og det skal inngås en Databehandleravtale. Den eksterne kan ikke behandle data på annen måte enn det som er avtalt.