Personvern i forskning ved UiB

Internkontrollsystemet består av: 

Styrende del: Overordnede rammer og mål, styringssystem for informasjonssikkerhet og personvern (SIP) og IKT-reglement, Overordnet retningslinje for behandling av personopplysninger

Gjennomførende del: UiBs rutiner (kvalitetssystem) for planlegging, gjennomføring, avslutning og kontroll med forskningsprosjekter utgjør den gjennomførende delen av internkontrollsystemet for forskning

• Veiviser med oversikt over rutiner for planlegging, oppstart, gjennomføring og avslutning av forskningsprosjekter

Kontrollerende del: rutiner for oppfølgning og kontroll

All behandling av personopplysninger må ha rettslig grunnlag i EUs personvernforordning (GDPR). Et rettslig grunnlag er hjemmel for behandlingen.

Det rettslige grunnlaget for behandling av personopplysninger i forbindelse med vitenskapelig forskning i regi av UiB vil som hovedregel være:

• At behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse (personvernforordningen artikkel 6 nr. 1 e). Denne bestemmelsen krever at det vises til supplerende rettslig grunnlag i nasjonale bestemmelser, jf. personvernforordningen artikkel 6 nr. 3.
• Supplerende rettslig grunnlag for behandling av personopplysninger for formål knyttet til vitenskapelig forskning er personopplysningsloven § 8. I henhold til personopplysningsloven § 8 kan personopplysninger behandles på grunnlag av personvernforordningen artikkel 6 nr. 1 bokstav e) dersom det er nødvendig for formål knyttet til vitenskapelig forskning. Behandlingen skal være omfattet av nødvendige garantier i samsvar med personvernforordningen artikkel 89 nr. 1.

Behandling av særlige kategorier (sensitive) personopplysninger for formål knyttet til vitenskapelig forskning har rådføringsplikt med personvernombud, jf personopplysningsloven §§ 9 og 10. Før behandlingen av personopplysningene tar til skal forskeren rådføre seg med UiBs personvernombud eller personvernrådgiver hos Sikt.

Ved rådføringen skal det vurderes om behandlingen vil oppfylle kravene i personvernforordningen og øvrige bestemmelser fastsatt i eller med hjemmel i personopplysningsloven. Det er et vilkår at behandlingen av personopplysninger for vitenskapelig forskningsformål er omfattet av nødvendige garantier for å sikre den registrertes rettigheter og friheter, jf. personvernforordningen artikkel 89 nr. 1, herunder at det er innført tekniske og organisatoriske tiltak for særlig å sikre at prinsippet om dataminimering overholdes. Nevnte tiltak kan omfatte pseudonymisering, forutsatt at formålet med forskningen kan oppfylles på denne måten. 

Rådføringsplikten anses som oppfylt ved gjennomført vurdering av UiBs personvernombud eller Sikt. Prosjekter som rådføres ved institusjonens personvernombud registreres direkte i RETTE. Etter gjennomført vurdering av Sikt overføres opplysninger om prosjektet til RETTE.

Det er et grunnvilkår at forskningen skjer i henhold til anerkjente forskningsetiske normer. Vurdering av om prosjektet er i tråd med forskningsetiske normer og retningslinjer, herunder om vilkår for deltakelse i forskningen er oppfylt, faller utenfor vurderingen med personvernombud eller personvernrådgiver, idet slik vurdering hører under forskningsansvarliges plikter etter forskningsetikkloven. 

Unntak fra rådføringsplikten

• hvis det allerede er gjennomført en personvernkonsekvensvurdering (DPIA) for prosjektet jfr. personopplysningsloven § 9, 2. ledd
• hvis det er gjennomført en personvernkonsekvensvurdering som omfatter flere lignende behandlingsaktiviteter som innebærer tilsvarende risiko, og prosjektet vurderes å være en slik lignende behandling, jf. GDPR artikkel 35 (1). Det må dokumenteres i RETTE hvilken personvernkonsekvensvurdering prosjektet er tilknyttet.
• medisinsk og helsefaglig forskning som har godkjenning fra REK, jf. helseforskningsloven § 33, 3. ledd

Dersom forsker skal samle inn data i land utenfor EØS, gjelder rådføringsplikten tilsvarende som ved datainnsamling i Norge. 

Ved planlegging av enhver behandling av personopplysninger for forskningsformål bør det vurderes om det er krav om å gjennomføre en personvernkonsekvensvurdering (Data protection impact assessment - DPIA), i samsvar med kravene i GDPR artikkel 35. En personvernkonsekvensvurdering skal gjennomføres når det er sannsynlig at behandlingen vil medføre høy risiko for de registrertes rettigheter og friheter, særlig ved bruk av ny teknologi, og i det det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i. En vurdering kan omfatte flere lignende behandlingsaktiviteter som innebærer tilsvarende høye risikoer.

Datatilsynet har myndighet til å bestemme at enkelte behandlingsaktiviteter skal være omfattet av kravet til DPIA, og har bestemt at det er krav om å gjennomføre en personvernkonsekvensvurdering. For formål knyttet til vitenskapelig forskning vil dette omfatte:

• behandling av særlige kategorier personopplysninger for forskningsformål der deltakelse ikke er basert på samtykke

Andre formål knyttet til vitenskapelig forskning kan også være omfattet av kravet, herunder kobling av store mengder sensitive personopplysninger, genetiske opplysninger mv. 

Personvernkonsekvensvurdering kan være nødvendig for enkeltprosjekter og for behandlinger som har generelle forskningsformål, for eksempel opprettelse av helseregister for befolkningsbaserte studier eller andre registre for forskningsformål. 

Hvis forskningsprosjektet er omfattet av kravet til DPIA, skal det avklares med institusjonens personvernombud om det skal gjennomføres en personvernkonsekvensvurdering. Personvernombudet skal involveres, og kan blant annet bistå med å vurdere om personvernhensyn er tilstrekkelig ivaretatt. Det er alltid behandlingsansvarlige som har ansvaret for å gjennomføre personvernkonsekvensvurderingen.

Institusjonens løsninger og verktøy for personvernkonsekvensvurdering (DPIA) skal benyttes - se Hvordan opprette en personvernkonsekvensvurdering.  Oversikten over gjennomførte DPIA for forskningsformål, herunder sammenkobling av flere datasett for brede forskningsformål (behandlinger som tidligere var konsesjonspliktige), holdes oppdatert i samme løsning. 

Ved fortsatt høy risiko skal Datatilsynet kontaktes for forhåndsvurdering. Før forhåndsvurdering påbegynnes skal behandlingsansvarlige først vurdere om ytterligere tiltak kan iverksettes for å redusere personvernrisikoen for de registrerte.

Unntak fra kravet om å gjennomføre personvernkonsekvensvurdering (DPIA)

• hvis det er gjennomført en personvernkonsekvensvurdering som omfatter flere lignende behandlingsaktiviteter som innebærer tilsvarende risiko, og prosjektet vurderes å være en slik lignende behandling, jf. GDPR artikkel 35 (1). Det må dokumenteres i RETTE hvilken DPIA prosjektet er tilknyttet
• dersom en behandling som gjennomføre i henhold til artikkel 6 nr. 1 c) eller e) har et rettslig grunnlag i nasjonale bestemmelser, og det allerede er utført en vurdering av personvernkonsekvenser som del av en generell konsekvensvurdering i forbindelse med vedtakelse av nevnte rettslig grunnlag. Krever nærmere vurdering, men kan være aktuelt for forskning på opplysninger fra helseregistre der det er gjennomført en personvernkonsekvensvurdering som vilkår for å kunne etablere registeret. 

Både beslutningen om å gjennomføre en personvernkonsekvensvurdering, og å ikke gjennomføre en personvernkonsekvensvurdering, må begrunnes og dokumenteres. Personvernombudet skal involveres i vurderingen. 

Personvernforordningen artikkel 30 pålegger virksomheten å ha oversikt over alle behandlinger av personopplysninger (protokoll). Alle forsknings-, doktorgrads- og studentprosjekter, samt kvalitetssikringsprosjekter som gjennomføres av studenter eller forskere, skal derfor føres inn i UiBs prosjektoversikt RETTE (Risiko og ETTErlevelse i forskningsprosjekter). Prosjektoversikten vil danne grunnlag for tilsyn og kontroll med forskningsprosjekter.

Oversikten omfatter også kvalitetssikringsprosjekter som utføres med vitenskapelig metode som del av bachelor, master eller forskerutdanning.

Les mer om kravet om registrering i RETTE her og fremgangsmåte her. 

Alle forskningsprosjekter skal ha en datahåndteringsplan. Prosjektleder har ansvar for at det blir satt opp en datahåndteringsplan for prosjektet. Datahåndteringsplanen skal beskrive hvordan forskningsdata skal samles inn, lagres og deles slik at dataene blir håndtert sikkert og forsvarlig.

Planen skal være et aktivt dokument som oppdateres underveis i prosjektet og som dokumenterer hvordan forskningsdata blir behandlet og organisert gjennom hele prosjektet. En datahåndteringsplan skal også inkludere vurderinger knyttet til etikk og personvern. Planen skal tilfredsstille krav fra finansieringskildene og være i tråd med UiBs retningslinje for behandling av personopplysninger.  

Personopplysninger skal ikke lagres lenger enn det som er nødvendig for formålet de ble innhentet for, hvis ikke annet er bestemt i lov eller f.eks. i forbindelse med finansiering av forskning.

Prosjektleder er ansvarlig for de data som prosjektet samler inn og bruker og skal ha tilgang til alle forskningsdata som prosjektet omfatter. Prosjektleder tildeler tilgangsrettigheter og holder oversikt over hvem som har tilgang til dataene. Prosjektleder er også ansvarlig for håndteringen av aktive forskningsdata og for sletting/lagring av data på en betryggende måte ved prosjektets avslutning. 

Prosjektleder skal sørge for at det iverksettes tiltak angående forskningsdataene som står i forhold til faktisk risiko basert på en risikovurdering.  Sentrale forhold i risikovurderingen er prosjektets omfang, opplysningenes følsomhet, trusselbildet knyttet til miljøet opplysningene bearbeides og lagres i, og prosjektets varighet. Alle vurderinger og tiltak skal være dokumentert.

For å minimere risikoen ved behandling av personopplysninger skal prosjektleder vurdere om personopplysningene kan pseudonymiseres, dvs. behandles på en slik måte at personopplysningene ikke lenger kan knyttes til en bestemt registrert uten bruk av tilleggsopplysninger. Opplysningene vil fortsatt regnes som personopplysninger etter loven. 

Prosjektmedarbeideres tilgang til forskningsdata

Forskningsdataene skal bare være tilgjengelig for godkjente prosjektmedarbeidere fram til prosjektavslutning. Prosjektleder bestemmer hvilke prosjektmedarbeidere som skal ha tilgang til pseudonymiserte personopplysninger og koblingsnøkkel. Prosjektleder skal ha dokumenterbar oversikt over hvem som har tilgang til data. Oversikten skal være tilgjengelig for forskningsansvarlig. 

Prosjektmedarbeidere skal normalt ikke ha tilgang til koblingsnøkkel. I de tilfeller de har tilgang til koblingsnøkkelen, er ikke lenger dataene å anse som pseudonymiserte, men som direkte personidentifiserbare, noe som skjerper kravene til forsvarlig behandling og oppbevaring.  

Ved prosjektslutt skal prosjektleder sørge for at personopplysningene blir anonymisert eller slettet hvis det ikke er krav om langtidslagring eller deponering. Etter anonymisering skal det ikke være mulig å knytte opplysninger til enkeltpersoner.

Ved oppbevaring til videre bruk skal oppbevaringen av personopplysningene være omfattet av tekniske og organisatoriske tiltak for å sikre at prinsippet om dataminimering overholdes. Nevnte tiltak omfatter informasjonssikkerhet og pseudonymisering.

Forskningsansvarlig skal gjennomføre systematiske tiltak for å påse at prosjektet gjennomføres i tråd med retningslinjene og at behandling av personopplysninger er i samsvar med lover, forskrifter og UiBs egne retningslinjer. Kontrollen skal sikre at rådføringsplikten, personvernkonsekvensvurderinger og nødvendige etiske godkjenninger er overholdt. 

Hvis forskningsansvarlig oppdager avvik, skal dette meldes i UiBs løsning for avvikshåndtering.

Forskningsansvarlig skal kontrollere om rutinene knyttet til avslutning er fulgt og at forskningsdata som er oppbevart elektronisk eller i andre arkiv er slettet, anonymisert eller pseudonymisert.