Hjem
Personvernportalen

Veiviser - forskningsprosjekter

Planlegging av forskningsprosjektet

Formålet med det enkelte forskningsprosjektet styrer hvilket regelverk som gjelder. Det er derfor viktig å avklare formålet med prosjektet og hvilke regler som gjelder før prosjektet starter.

 Avklare formålet med prosjektet

  •  Prosjektleder skal avklare formålet med prosjektet, og hvilke bestemmelser som gjelder for behandling av personopplysninger ut fra formålet med prosjektet 

  • Prosjektleder skal vurdere om prosjektet omfattes av helseforskningsloven og trenger etisk forhåndsgodkjenning fra REK, evt om prosjektet bør søkes REK for fremleggingsvurdering hvis det er usikkert om det omfattes av helseforskningsloven

  • Prosjektleder skal vurdere om det er nødvendig å søke REK om dispensasjon fra helsepersonells taushetsplikt. Dette gjelder både ved ikke-samtykkebasert deltakelse til helseforskningsprosjekter (helseforskningsloven § 35) og ved annen ikke-samtykkebasert forskning der helseopplysninger inngår (helsepersonelloven § 29)

Ivareta personvernprinsippene

  • Prosjektleder skal sørge for at alle grunnleggende vilkår etter personvernforordningen artikkel 5 er ivaretatt, herunder at det foreligger lovhjemmel for behandlingen i personvernforordningens artikkel 6 og artikkel 9, med nødvendig supplerende rettslige grunnlag i nasjonale lovbestemmelser:

    • Behandling av personopplysninger som er nødvendig i forbindelse med vitenskapelig forskning, vil ha behandlingsgrunnlag i artikkel 6 nr. 1 bokstav e) nødvendig for å utføre en oppgave i allmennhetens interesse, og supplerende rettslig grunnlag i personopplysningsloven § 8 

    • Behandling av særlige kategorier personopplysninger som er nødvendig for vitenskapelig forskning, vil ha behandlingsgrunnlag i artikkel 9 nr. 2 bokstav j) at behandlingen er nødvendig for formål knyttet til vitenskapelig forskning, og oppfylle vilkår som nevnt i personopplysningsloven §§ 9 og 10, herunder rådføringsplikt med personvernombud, se nedenfor. 

  • Prosjektleder må sørge for at forskningsprosjektet er omfattet av nødvendige garantier, jf. artikkel 89 nr. 1, herunder at :

    • prosjektet utføres i samsvar med forskningsetiske normer retningslinjer, herunder at deltakelse som hovedregel er basert på frivillig samtykke

    • det er sikres at det er innført tekniske og organisatoriske tiltak for særlig å sikre at prinsippet om dataminimering overholdes, herunder pseudonymisering

    • at informasjonssikkerhet er ivaretatt, herunder sikker håndtering, lagring og utlevering av personopplysninger

  • at prinsippet om ansvarlighet er ivaretatt
  • Prosjektleder skal sørge for å holde behandlingsansvarlig/forskningsansvarlig orientert om behandling av personopplysninger i forskningsprosjekt, i tråd med gjeldende rutiner, ved at opplysninger om prosjektet i universitetets prosjektoversikt RETTE til enhvert tid er korrekte og oppdaterte

Rådføringsplikt med personvernombud

  • Prosjektleder skal være kjent med at behandling av særlige kategorier personopplysninger for formål knyttet til vitenskapelig forskning har rådføringsplikt med personvernombud, jfr. personopplysningsloven § 9 og § 10. Rådføringsplikten gjelder også ved behandling av opplysninger om straffedommer og lovovertredelser. Rådføringsplikten kan oppfylles ved at forsker henvender seg til NSD (Norsk senter for forskningsdata) for rådgiving. 

  • Unntatt fra den særskilte rådføringsplikten for vitenskapelig forskning er behandling av alminnelige personopplysninger, helseforskningsprosjekter og hvis det allerede er gjennomført en personvernkonsekvensvurdering (DPIA). Unntatt fra den særskilte rådføringsplikten for vitenskapelig forskning er også forskningsprosjekter som gjennomføres som følge av lovpålagte oppgaver, herunder kvalitetssikring og kvalitetsutviklingsprosjekter. Det kan likevel være plikt til å gjennomføre en personvernkonsekvensvurdering for denne type prosjekt, og involvere institusjonens personvernombud i vurderingen. 

  • Prosjektleder skal vurdere om et prosjekt som behandler alminnelige personopplysninger i forbindelse med vitenskapelig forskning, og er unntatt fra rådføringsplikt, likevel bør rådføres med personvernombud, eventuelt om det bør gjennomføres en personvernkonsekvensvurdering (DPIA). Dette kan særlige være aktuelt der prosjektet behandlinger opplysninger om sårbare grupper, som f.eks. barn og andre personer med nedsatt kompetanse til å samtykke til deltakelse

Vurdere behov for å gjennomføre personvernkonsekvensvurdering (DPIA)

  • Prosjektleder skal ved planleggingen av prosjektet vurdere om det bør gjennomføres en personvernkonsekvensvurdering (DPIA) etter personvernforordningen artikkel 35. Dette kan blir aktuelt der det er sannsynlig at behandlingen kan medføre en høy personvernrisiko. Se nærmere om DPIA her.

  • Ved vurderingen om det bør gjennomføres en DPIA skal prosjektleder søke råd hos institusjonens personvernombud, og personvernombudet skal involveres i gjennomføringen av personvernkonsekvensutredningen. 

Avklare behov for nødvendige avtaler 

  • Prosjektleder skal avklare behov for avtaler med samarbeidende forskere og forskningsinstitusjoner, herunder
    • avtale med prosjektmedarbeidere som ikke har et tilsettingsforhold ved universitetet dersom de skal ha tilgang til universitetssystemer, og
    • avtaler om deling av data innad i forskningsprosjektet 
    • overføring av data til tredjeland i samsvar med personvernforordningens bestemmelser

Studentoppgaver

Studentoppgaver er oppgaver som utføres på bachelor- og masternivå ved høyskole eller universitet. 

Studentoppgaver vil som hovedregel ikke defineres som vitenskapelig forskning, men som opplæring i metode.

Studentoppgaver som gjennomføres i tilknytning til pågående forskningsprosjekter i regi av etablerte forskergrupper vil kunne defineres som vitenskapelig forskning, og vil omfattes av bestemmelser som gjelder for vitenskapelig forskning, se over, herunder rådføringsplikt. Student må avklare nærmere med veileder hvilke bestemmelser som gjelder 

Behandling av personopplysninger som er nødvendig i forbindelse med gjennomføring av studentoppgaver, som ikke defineres som vitenskapelig forskning, skal ha rettslig behandlingsgrunnlag i personvernforordningen artikkel 6 og artikkel 9. 

  • Behandling av personopplysninger i studentoppgaver har rettslig grunnlag i personvernforordningen artikkel 6 nr. 1 bokstav e) med supplerende rettslig grunnlag i universitets- og høyskoleloven § 1-3
  • Behandling av særlig kategorier personopplysninger i studentoppgaver må forankres i et uttrykkelig samtykke fra deltaker, jf. personvernforordningen artikkel 9 nr. 2 bokstav a) 

Studentoppgaver skal gjennomføres i samsvar med anerkjente forskningsetiske normer og retningslijer. Rekruttering av deltakere i studentprosjekter skal i samsvar med de forskningsetiske retningslinjer som hovedregel alltid baseres på frivillig, informert og gjenkallelig deltakelse, og samtykke til deltakelse skal kunne dokumenteres. 

Alle studentoppgaver skal være avklart med veileder. Ved studentoppgaver skal alltid veileder være prosjektansvarlig.

Alle studentoppgaver som behandler personoppysninger skal føres inn i institusjonens oversikt over student- og forskningsprosjekter, RETTE

Behandlingsansvarlig / Forskningsansvarlig virksomhet oppnevner en prosjektansvarlig:

  • Studenter på lavere grad enn doktorgradsnivå skal som hovedregel ikke selv være prosjektansvarlig. Doktorgradstudier defineres som ordinære forskningsprosjekt.

  • Ved studentoppgaver er det normalt studentens veileder som fungerer som prosjekansvarlig.

  • Når studenten ikke selv er prosjektleder, har studenten formelt rolle som prosjektmedarbeider, se Roller og ansvar.

  • Studentens oppgaver i prosjektet må avklares med prosjektleder og forskningsansvarlig virksomhet.

  • For avklaring av hvilken institusjon er forskningsansvarlig i studentprosjekter innen medisinsk og helsefaglig forskning, se Vedlegg 4.1.1.1. Vedlegg: Avklaring av ansvarsforhold ved samarbeidsprosjekter. Studentprosjekter som defineres som kvalitetssikringsprosjekt, følger egne retningslinjer hos Helse Bergen for gjennomføring av kvalitetssikringsprosjekter. Personvernombudet i Helse Bergen kan ev kontaktes for nærmere informasjon og avklaring. Kvalitetssikringsprosjekter er definert som ordinære oppgaver for helsetjenesten, og skal meldes personvernombudet i Helse Bergen. Dette gjelder også behandling av personopplysninger om ansatte i helsetjenesten.

  • Studenter skal følge prosjektleders veiledning og instruksjoner, signere taushetserklæring og gjennomføre nødvendig opplæring i informasjonssikkerhet.

Prosjektleder skal sørge for at alminnelig rutiner for oppstart og gjennomføring av forskningsprosjekter følges så langt de passer.

Prosjektleder skal sørge for at:

  • Studenten signerer taushetserklæring

  • det inngås avtale med studenter som ikke har et tilsettingsforhold ved universitetet, dersom de skal ha tilgang til universitetssystemer.

  • Studenter har gjennomgått nødvendig opplæring i informasjonssikkerhet før tilgang kan gis

    • Signerte avtaler og taushetserklæring arkiveres i ansvarlig virksomhet sitt saksarkiv.