Forskningsrutiner

Prosjektleder skal avklare formålet med prosjektet, og hvilke fremgangsmåte som gjelder ut fra formålet med prosjektet.

Prosjektleder skal vurdere om prosjektet gjelder medisinsk- og helsefaglig forskning og omfattes av helseforskningsloven. Forskning på mennesker og helseopplysninger som har til formål å skaffe til veie ny kunnskap om helse og sykdom, trenger etisk forhåndsgodkjenning fra REK. Ved usikkerhet om prosjektet omfattes av helseforskningsloven kan man be REK om en fremleggingsvurdering.

• Hvis unntak fra samtykkekravet gjelder tilgang til helseopplysninger må det søkes dispensasjon fra helsepersonells taushetsplikt, jf helsepersonelloven § 29 
• Hvis unntak fra samtykkekravet gjelder andre opplysninger omfattet av forvaltningens taushetsplikt må det søkes vedkommende forvaltningsorgan om tilgang til opplysningene

Prosjektleder skal sørge for at de grunnleggende prinsippende for behandling av personopplysninger er ivaretatt, herunder at behandlingen må ha behandlingsgrunnlag i personvernforordningen, behandlingen må være omfattet av åpenhet og rettferdighet overfor forskningsdeltakerne

Rettslig grunnlag (lovhjemmel) for behandling av personopplysninger som er nødvendig for formål knyttet til vitenskapelig forskning vanligvis være personvernforordningens artikkel 6 (1) e) nødvendig for å utføre en oppgave i allmennhetens interesse. Supplerende grunnlag i nasjonal lovgivning er personpplysningsloven § 8, nødvendig for formål knyttet til vitenskapelig forskning. 

Behandling av særlige kategorier (sensitive) personopplysninger må oppfylle et av vilkårene i artikkel 9. For vitenskapelig forskning vil dette vanligvis være artikkel 9(2) j) nødvendig for formål knyttet til vitenskapelig forskning.  

Prosjektleder må i tillegg sørge for at forskningsprosjektet er omfattet av nødvendige garantier for å ivareta deltakernes integritet og velferd, jf. artikkel 89 nr. 1, herunder at :

• prosjektet utføres i samsvar med forskningsetiske normer og retningslinjer, herunder at deltakelse som hovedregel er basert på frivillig samtykke

• det er sikres at det er innført tekniske og organisatoriske tiltak for særlig å sikre at prinsippet om dataminimering overholdes, herunder pseudonymisering

• at informasjonssikkerhet er ivaretatt, herunder sikker håndtering, lagring og utlevering av personopplysninger

Behandling av særlige kategorier personopplysninger (sensitive personopplysninger) for formål knyttet til vitenskapelig forskning har rådføringsplikt med personvernombud. Rådføringsplikten gjelder også ved behandling av opplysninger om straffedommer og lovovertredelser. Rådføringsplikten kan oppfylles ved at forsker henvender seg til Sikt for å søke råd om behandlingen av personopplysninger.

• Personverntjenestene fra Sikt omfatter ikke vurdering av forskningsetiske problemstillinger, herunder metode, forsvarlighet, grunnlag for deltakelse i forskningen, innbefattet informasjonsskriv og samtykkeerklæringer, idet dette hører til universtetets ansvar etter forskningsetikkloven.   

Unntatt fra den særskilte rådføringsplikten for vitenskapelig forskning er også forskningsprosjekter som gjennomføres som følge av lovpålagte oppgaver, herunder kvalitetssikring og kvalitetsutviklingsprosjekter. Det kan likevel være forsvarlig å gjennomføre en personvernkonsekvensvurdering for denne type prosjekt, og involvere institusjonens personvernombud i vurderingen. Det kan likevel være forsvarlig å gjennomføre en personvernkonsekvensvurdering for denne type prosjekt, og involvere institusjonens personvernombud i vurderingen. 

Prosjektleder skal vurdere om et prosjekt som behandler alminnelige personopplysninger i forbindelse med vitenskapelig forskning, og er unntatt fra rådføringsplikt, likevel bør rådføres med personvernombud, eventuelt om det bør gjennomføres en personvernkonsekvensvurdering (DPIA). Dette kan særlige være aktuelt der prosjektet behandlinger opplysninger om sårbare grupper, som f.eks. barn og andre personer med nedsatt kompetanse til å samtykke til deltakelse.

Prosjektleder skal ved planleggingen av prosjektet vurdere om det bør gjennomføres en personvernkonsekvensvurdering (data protection impact asessment, "DPIA") etter personvernforordningen artikkel 35. Dette kan blir aktuelt der det er sannsynlig at behandlingen kan medføre en høy personvernrisiko. Se nærmere om DPIA her. UiB bruker Drafit som løsning for gjennomføring av personvernkonsekvensvurdering. Se her for hvordan opprette en personvernkonsekvensvurdering (DPIA).

Ved vurderingen om det bør gjennomføres en DPIA skal prosjektleder søke råd hos institusjonens personvernombud, og personvernombudet skal involveres i gjennomføringen av personvernkonsekvensutredningen. 

• avtale med prosjektmedarbeidere som ikke har et tilsettingsforhold ved universitetet dersom de skal ha tilgang til universitetssystemer, og
• avtaler om deling av data innad i forskningsprosjektet 
• overføring av data til tredjeland i samsvar med personvernforordningens bestemmelser

Se egne rutiner for planlegging av studentprosjekter