Hjem
Personvernportalen

Definisjoner og begreper

Administrativ behandling av personopplysninger

Enhver behandling av personopplysninger som er foretatt i andre øyemed enn forskning. Dette omfatter behandlinger av personopplysninger for å administrere tilsattes, studenters og andres forhold til universitetet, også når disse opplysningene brukes som ledd i kvalitetssikring, samt andre behandlinger med hjemmel i universitets- og høyskoleloven. Tilsvarende er behandlinger som utføres i kvalitetssikringsøyemed i helsetjenesten å regne som administrative behandlinger.

Anonyme opplysninger

Opplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger, direkte eller indirekte, kan knyttes til en enkeltperson.

Avidentifiserte opplysninger

Personopplysninger der navn, fødselsnummer og andre direkte personentydige kjennetegn er fjernet og erstattet av et nummer, kode, slik at opplysningene ikke umiddelbart kan knyttes til en enkeltperson, og hvor identitet bare kan tilbakeføres ved sammenstilling med de samme opplysninger som tidligere ble fjernet. Avidentifiserte opplysninger er indirekte personidentifiserende opplysninger. 

Avvik

Enhver håndtering av personopplysninger som ikke er i henhold til gjeldende regelverk, for eksempel manglende oppfyllelse av tidligere gitte konsesjonsvilkår, retningslinjer og/eller prosedyrer, samt andre sikkerhetsbrudd. 

Behandling av personopplysninger

Enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk utlevering ved overføring, spredning eller andre former for tilgengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring. 

Se også Administrativ behandling og Behandling som ledd i forskning. Anonymisering av opplysninger er også å anse som behandling.

Behandling av personopplysninger som ledd i forskning

Enhver behandling av helse- og personopplysninger som er foretatt i forskningsøyemed.

Behandlingsansvarlig

En fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandling av personopplysninger og hvilke midler som skal benyttes. UiB er behandlingsansvarlig i de aller fleste tilfellene der det behandles personopplysninger ved UiB.

Dersom to eller flere behandlingsansvarlige i fellesskap fastsetter formål og midler som skal brukes skal de være felles behandlingsansvarlige. 

Ved UiB er rektor behandlingsansvarlig for behandling av personopplysninger i forskning. 

Behandlingsansvarliges representant

Den som utøver behandlingsansvarliges daglige ansvar på vegne av rektor, i henhold til delegasjon

Behandlingsgrunnlag

Kalles også rettslig grunnlag for behandling av personopplysninger, og er et vilkår etter personvernforordningen. Enhver behandling må ha et behandlingsgrunnlag i samsvar med artikkel 6 og/eller artikkel 9. Kravene i artikkel 6 gjelder bestandig, kravene i artikkel 9 gjelder særlige kategorier personopplysninger. For særlige kategorier personopplysninger må både kravene i artikkel 6 og artikkel 9 være oppfylt. Hver behandling av personpplysninger kan trenge flere typer behandlingsgrunnlag. Også andre vilkår som formål og opplysningskvalitet må oppfylles.

Når behandlingen utføres på grunnlag av artikkel 6 nr. 1 c) å oppfylle en rettslig forpliktelse, eller artikkel 6 nr. 1 e) utøve en oppgave i allmennhetens interesse eller utøve offentlig myndighet, er det krav i artikkel 6 nr. 3 om supplerende rettsgrunnlag i nasjonale bestemmelser (lov eller forskrift) eller i vedtak i medhold av lov eller forskrift. 

Behandlingsrettet helseregister

Journal- og informasjonssystem eller annet helseregister som har til formål å gi grunnlag for handlinger som har forebyggende, diagnostisk, behandlende, helsebevarende eller rehabiliterende mål i forhold til den enkelte pasient og som utføres av helsepersonell, samt administrasjon av slike handlinger.

Biobankmateriale

Brukes synonymt med Humant biologisk materiale

Bredt samtykke

Forskningsdeltakere kan samtykke til at humant biologisk materiale og helse- og personopplysninger kan brukes til nærmere bestemte, bredt definerte forskningsformål. Bredt samtykke krever jevnlig informasjon til prosjektdeltaker om prosjektet.

Databehandler

En ekstern fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige. Forholdet mellom Behandlingsansvarlig og Databehandler er regulert i personvernforordningen artikkel 28. 

Databehandleravtale

Når UiB bruker eksterne leverandører til å behandle personopplysninger på vegne av virksomheten, må forholdet mellom behandlingsansvarlig virksomhet og databehandleren reguleres i en databehandleravtale, jf. personvernforordningen artikkel 28. En databehandler kan ikke behandle personopplysninger på en annen måte enn det som er skriftlig avtalt med den behandlingsansvarlige. Den behandlingsansvarlige skal bare bruke databehandlere som gir tilstrekkelige garantier for at de vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i personvernforordningen og vern av den registrertes rettigheter.

Datalagring, overføring til tredje land

Virksomheter som vil overføre personopplysninger til utlandet, kan bare overføre til stater som sikrer en forsvarlig behandling av opplysningene. Landene innenfor EU/EØS-området er anerkjent som stater som sikrer at personopplysningene behandles forsvarlig, og derfor kan man overføre personopplysninger til disse statene, forutsatt at personopplysningslovens øvrige vilkår er oppfylt. Det samme gjelder land som Europakommisjonen har godkjent. Personopplysninger kan også overføres til USA dersom mottakervirksomheten har sertifisert seg etter Privacy Shield-avtalen (Kilde: Datatilsynet, https://www.datatilsynet.no/Regelverk/Internasjonalt/Overfoering/). Overføring av personopplysninger til utlandet ut over dette krever som hovedregel tillatelse fra Datatilsynet. Datatilsynet anbefaler bruk av EUs standardkontrakter for å kunne gi tilstrekkelige garantier for vern av den registrertes rettigheter.

Eksport av data

Med eksport av data menes her enhver tilgjengeliggjøring av data foruten til eget system/behandling eller til den registrerte selv eller noen som mottar data på dennes vegne. For eksport av data utenfor EU/EØS, se EU Privacy Shield og Datalagring, overføring til tredje land

EU Privacy Shield

Juridisk rammeverk mellom EU og USA som skal sikre etterlevelse av EU krav til sikker behandling av personopplysninger ved overføring av opplysninger til USA

EUs personvernforordning

se GDPR

Formål med forskningsprosjekt

Det formål som ble oppgitt til personvernombud/rådgiver eller REK da prosjektet ble omsøkt og etablert, og som følger av forskningsprotokollen

Forskningsansvarlig

Institusjon eller en annen juridisk eller fysisk person som har det overordnede ansvaret for forskningsprosjektet, og som har de nødvendige forutsetningene for å kunne oppfylle den forskningsansvarliges plikter etter loven. Dersom egen virksomhet ikke er forskningsansvarlig for et forskningsprosjekt, er prosjektet å regne som eksternt. Samarbeidsprosjekt skal være nedfelt i samarbeidsavtale. 

Forskningsbiobank

En samling humant biologisk materiale som anvendes i et forskningsprosjekt eller skal anvendes til forskning.

Forskningsdata

Helse- og personopplysninger om, eller opplysninger om humant biologisk materiale fra en forskningsdeltaker som skal inngå i forskning.

Forskningsdeltaker

Det enkeltindivid (den personen) hvis opplysninger /biologisk materiale det forskes på. Forskningsdeltakere har en rekke rettigheter etter personvernregelverket og helseforskningsloven, enten prosjektet er basert på samtykke (hovedregelen i medisinsk og helsefaglig forskning) eller ikke-samtykkebasert. 

Forskningsprosjekt

Hva som er å betegne som et forskningsprosjekt er nærmere beskrevet i en forskningsprotokoll. Et prosjekt kan ha flere forskningsprotokoller. Ved endringer i forskningsprotokollen som medfører endring i prosjektet, er prosjektet å betrakte som et nytt prosjekt, jf. Rutine for oppstart av forskningsprosjekt. Andre endringer i forskningsprotokollen skal meldes til hhv personvernombud/rådgiver eller REK

Forskningsserver

Et eget område for forskning hvor forskningsdata kan oppbevares sikkert, etter nærmere definerte rutiner, se Sikker lagring. SAFE er UiBs forskningsserver.

GDPR

The General Data Protection Regulation (GDPR) vedtatt 25. mai 2018, erstatter EUs personverndirektiv fra 1995. Forordningen har som mål å styrke og forene personvernet for individer innenfor EU. Det omhandler også eksport av personopplysninger til områder utenfor EU. Hovedmålet er å gi borgere tilbake kontrollen over personopplysninger og å forenkle regelverket for virksomheter ved å ha ett regelverk som gjelder innenfor unionen.

Helseforskning

Virksomhet som utføres med vitenskapelig metodikk for å skaffe til veie ny kunnskap om helse og sykdom, jfr. helseforskningsloven § 4 a).

Helseforskningsrutiner

Praktiske rutiner for medisinsk og helsefaglig forskning, som skal sikre at helseforskning gjennomføres i henhold til gjeldende lovverk. Helseforskningsrutinene er utviklet i samarbeid med Helse Bergen, og skal blant annet sikre en tydelig ansvarsavklaring i prosjekter der begge institusjoner er involvert. UiBs rutiner for helseforskning er integrert i de generelle forskningsrutinene ved UiB

Helseopplysning

Personopplysninger om en fysisk persons fysiske eller psykiske helse, herunder om ytelse av helsetjenester, som gir informasjon om vedkommendes helsetilstand. Helseopplysninger er taushetsbelagte opplysninger i henhold til helsepersonelloven § 21. Helseopplysninger inngår i oversikten over særlige kategorier personopplysninger i personvernforordningen, jf. artikkel 9 nr. 1.

Helseregister

Registre, fortegnelser mv. der helseopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen.

Helsetjenesteforskning

Prosjekter som gjelder helsetjenesteforskning omfattes ikke av helseforskningsloven. Bruk av helseopplysninger til forskning forutsetter at den som eier opplysningene har tillatelse til å utlevere dem. Slik tillatelse kan være hjemmel i lov eller forskrift.

I andre tilfeller vil forsker måtte innhente dispensasjon fra taushetsplikt for å få tilgang til data. Slik dispensasjon er regulert i helsepersonelloven §§ 29 - 29c. Departementet har delegert myndigheten til å dispensere fra taushetsplikten til den regionale etiske komité (REK). Slike prosjekter er underlagt rådføringsplikt med personvernombud/rådgiver, fordi de omfatter særlige kategorier personopplysninger, jfr. personopplysningsloven § 9 og § 10. 

Humant biologisk materiale

Organer, deler av organer, celler og vev og bestanddeler av slikt materiale fra levende og døde mennesker.

Import av data

Med import av data menes her innsamling av data fra enhver annen kilde enn innenfor eget system/behandling og/eller innhenting fra den registrerte selv eller noen som avgir data på dennes vegne.

Indirekte personidentifiserende opplysninger

Bakgrunnsopplysninger som kan gjøre det mulig å spore opplysningene tilbake til en enkeltperson, f.eks. bostedskommune eller institusjonstilknytning kombinert med opplysninger om alder, kjønn, yrke, nasjonalitet eller annet. 

Informasjonssikkerhet

Opprettholdelse av et adekvat nivå av konfidensialitet, integritet og tilgjengelighet for alle informasjonsressurser tilhørende UiB.  Databehandlingsansvarlig skal ha definert et akseptabelt risikonivå for behandling av personopplysninger

Innebygd personvern

Innebygd personvern betyr at det tas hensyn til personvern i alle utviklingsfaser av et system eller en løsning. 

Innsyn

Forskningsdeltakerens eller den registrertes rett til å få vite hvilke opplysninger som behandles om seg selv og for hvilke formål, jfr. personvernforordningen artikkel 15, med de begrensninger som følger av personopplysningsloven § 17 for forskning. 

Integritet

se Informasjonssikkerhet

Internkontroll

Planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av personopplysningsloven, herunder sikre personopplysningenes kvalitet. Den behandlingsansvarlige skal etablere og vedlikeholde internkontrollsystemet, og dokumentere tiltakene som utgjør internkontrollsystemet. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda

Kameraovervåking

”...vedvarende eller regelmessig gjentatt personovervåking ved hjelp av fjernbetjent eller automatisk virkende videokamera, fotografiapparat eller lignende apparat"

Konfidensialtiet

se Informasjonssikkerhet

Konsesjon

se Meldeplikt

Kvalitetssikring

Kvalitetssikringsarbeid er en lovpålagt oppgave. Dette gjelder kvalitetssikringsprosjekter i helsetjenesten, og oppgaver som utføres med hjemmel i uhl. § 1-6, f.eks. studentundersøkelser.

Langtidsoppbevaring av personopplysninger

Oppbevaring av personopplysninger etter prosjektslutt. Opplysninger må oppbevares hos en godkjent arkivinstitusjon, f.eks. Norsk senter for forskningsdata (NSD) eller Statistisk sentralbyrå (SSB)

Medisinsk og helsefaglig forskning

se Helseforskning

Meldeplikt og konsesjonsplikt

Den tidligere ordningen med meldeplikt og konsesjonsplikt er bortfalt med GDPR. Det betyr at tidligere gitte konsesjoner med krav og vilkår ikke gjelder lenger. I praksis betyr dette at selve adgangen til å behandle personopplysninger ikke er falt bort, forutsatt at tidligere konsesjonsvilkår overholdes. 

Ansvaret for behandlng av personopplysninger er flyttet til virksomhetene, og behandlingsansvarlig må selv vurdere om en behandling av personopplysninger er tillatt, og har plikt til å vurdere persovnernkonsekvenser. 

NEM

Den nasjonale forskningsetiske komité for medisin og helsefag. NEM er klageinstans for avgjørelser gjort av REK

Norsk pasientskadeerstatning - NPE

Dekker skader påført pasienter av helsepersonell som yter helsehjelp i henhold til offentlig autorisasjon eller lisens, personer som opptrer på vegne av disse, personer som har rett til å utøve yrke som helsepersonell midlertidig i Norge uten norsk autorisasjon, lisens eller spesialistgodkjenning eller andre personer som er fastsatt i forskrift. All forskning som gjennomføres av helsepersonell i offentlig og privat sektor omfattes av NPE. Det betyr at NPE også dekker universitetet. Dette gjelder både pasienter og friske forsøkspersoner.

NSD

Norsk senter for forskningsdata. NSD er tilknyttet UiB som rådgiver for personvern i forskning.

NSDs meldingsarkiv

NSDs meldingsarkiv gir en institusjoner en løpende oversikt over hvordan personopplysninger behandles i egne forskningsprosjekter som er meldt til personvernombudet. Prosjektene følges fra forsker/student har sendt inn melding til NSD før oppstart, gjennom eventuelle endringer i prosjektopplegget, og frem til prosjektene avsluttes og personopplysningene slettes eller lagres videre i tråd med nødvendige tillatelser. Meldingsarkivet innholder detaljert informasjon om det enkelte prosjekt, bl.a. om formål, utvalg, datakilder og type opplysninger, lagringsform, hjemmelsgrunnlag osv., samt alle relevante saksdokumenter.

Nødvendighet som rettslig grunnlag

Selv om det ikke er samtykke, kan personopplysninger likevel behandles hvis det er "nødvendig", jfr artikkel 6 nr. 1 b) - f). Dette omfatter grunner som avtale, rettslig forpliktelse, vitale interesser, oppgave av allmenn interesse, utøvelse av offentlig myndighet eller berettiget interesse. Ved berettiget interesse stilles det krav om interesseavveiing, jf. artikkel 6 nr. 1 f), og får ikke anvendelse på behandlinger som utføres av offentlige myndigheter under utførelse av deres oppgaver.

Behandling av personopplysninger i forskningsprosjekter vil ofte være begrunnet ut fra nødvendighetskriteriet, ettersom forskning er definert som en oppgave som utføres i allmennhetens interesse. For oppgaver som utføres for oppfylle en rettslig forpliktelse, i allmennhetens interesse eller utøvelse av offentlig myndighet, kreves det supplerende rettslig grunnlag i nasjonale bestemmelser. For forskning er dette gitt adgang til å behandle personopplysninger for forskningsformål i den nye personopplysningsloven § 8. 

Oppbevaring av forskningsdata

se Sikker lagring og Informasjonssikkerhet

Prosjektleder har ansvar for at aktive forskningsdata - personopplysninger og humant biologisk materiale - og eventuell koblingsnøkkel er forsvarlig oppbevart. Hvordan oppbevaring av aktive forskningsdata skal skje, må være avklart før datainnsamlingen påbegynnes. Ved bruk av UiBs eget system SAFE (Sikker Adgang til Forskningdata og E-infrastruktur) i medisinsk og helsefaglig forskning, og andre forskningsprosjekter som involverer sensitive personopplysninger, vil en rekke av de sikkerhetsmessige kravene som personopplysningsloven og helseregisterloven stiller, automatisk bli oppfylt gjennom de datatekniske løsningene og den sikkerhetsarkitekturen som er valgt.

Personopplysning

Alle typer opplysninger og vurderinger som kan knyttes til en fysisk person, enten direkte eller indirekte, f.eks. navn, identifikasjonsnummer, nettidentifikator, IP-adresse, ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet. 

Opplysninger som ikke alene kan knyttes til en enkeltperson, kan i tilfeller hvor opplysningen kobles sammen med andre data, utgjøre en personopplysning. Navn, fødselsnummer, studentnummer, kandidatnummer, ansattnummer, e-postadresse, genetiske opplysninger, lydopptak, IP-adresse, aktivitetslogger, kallenavn i sosiale media og på internett er eksempler på personopplysninger. Bilder, film og video som avbilder fysiske personer er også personopplysninger. 

Pseudonymiserte opplysninger, som innebærer at opplysningene kan knyttes til en enkeltperson uten bruk av tilleggsopplysninger, er personopplysninger da de kan kobles til en enkeltperson ved hjelp av en koblingsnøkkel.

Personopplysningsloven

Den norske personopplysningsloven, vedtatt 20. juli 2018, som implementerer GDPR i norsk lov. Personopplysningsloven inneholder tilleggsbestemmelser som er relevante for forskning, herunder § 8 (adgang til å behandle personopplysninger for forskning), §§ 9 - 11 (rådføringsplikt med personvernombud/rådgiver) og § 17 (unntak fra den registrertes rettigheter). 

Personregister

Enhver strukturert samling av personopplysninger som er tilgjengelig etter særlige kriterier, enten samlingen er plassert sentralt, er desentralisert eller spredt på et funksjonelt eller geografisk grunnlag, jfr. personvernforordningen artikkel 4 nr. 6). 

Personvernforordning (GDPR)

se GDPR

Personvernombud

Et uavhengig ombud, hvis hovedoppgave er å informere og gi råd om de forpliktelsene virksomheten har etter personvernlovgivningen til den behandlingsansvarlige eller databehandleren, samt til de ansatte eller andre som utfører behandlingen av personopplysninger. 

Personvernrådgiver for forskning

Når en det behandles særlige kategorier personopplysninger, samt opplysninger om straffedommer og lovovertredelser, for forskningsformål, har den behandlingsansvarlige plikt til å rådføre seg med personvernombudet eller annen som oppfyller vilkårene, jfr. personopplysningsloven §§ 9 - 10. UiB har avtale med NSD (Norsk senter for forskningsdata) for personverntjenester i forskning, heretter kalt personvernrådgiver. 

Prosjektavslutning

Inntreffer når forskningsdata skal anonymiseres, slettes eller langtidsoppbevares. Nøyaktig dato er oppgitt i godkjenning fra personvernombud eller REK. Dersom forskningsprosjektet ikke er avsluttet innen oppgitt dato må rutine for prosjektendring følges. 

Prosjektdeltaker

se Forskningsdeltaker

Prosjektleder

Definisjonen i helseforskningsloven lyder: "En fysisk person med ansvar for den daglige driften av forskningsprosjektet, og som har de nødvendige forskningskvalifikasjonene og erfaringer for å kunne oppfylle prosjektlederens plikter etter denne loven." (hfl. § 4 f)) 

Prosjektmedarbeider

Prosjektmedarbeidere er alle som er involvert i prosjektet (forskere, doktorgradsstudenter og studenter). Student på lavere nivå enn doktorgrad skal være prosjektmedarbeider og kan ikke være prosjektleder.

Pseudonymisering

Behandling av personopplysninger på en slik måte at personopplysningene ikke lenger kan knyttes til en bestemt person uten bruk av tilleggsopplysninger, forutsatt at nevnte tilleggsopplysninger lagres adskilt og omfattes av tekniske og organisatoriske tiltak som sikrer at personopplysningene ikke kan knyttes til en identifisert eller identifiserbar fysisk person. 

Registrert

Den som en personopplysning kan knyttes til.

REK

Regional komité for medisinsk og helsefaglig forskningsetikk. REK er delt inn i regionale avdelinger. REK Vest har ansvar for Vest-Norge, men saker fordeles mellom REK'ene etter kapasitet. REK godkjenner medisinsk og helsefaglig forskning på mennesker, humant biologisk materiale eller helseopplysninger, inkludert pilotstudier og utprøvende behandling.

SAFE (Sikker Adgang til Forskningsdata og E-infrastruktur)

UiBs eget system (forskningsserver) for sikker lagring av sensitiv persondata i forskningsprosjekter.

Saksarkiv

Virksomhetens formelle saksarkiv, der alle formelle brev, notat og sluttrapporter tilknyttet saker skal arkiveres enten de er sendt elektronisk eller på papir.

Samtykke

Enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller entydig bekreftelse  gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende. Det kreves uttrykkelig samtykke ved behandling av særlige kategorier personopplysninger.

Ut fra et forskningsetisk perspektiv vil samtykke alltid være hovedregelen for å kunne behandle personopplysninger, men etter  personvernregelverket er samtykke et av flere likestilte behandlingsgrunnlag, se Nødvendighet som rettslig grunnlag. 

Særlige kategorier personopplysninger

(Tidligere kalt 'sensitive personopplysninger') Opplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, filosofisk eller religiøs overbevisning eller fagforeningsmedlemskap, behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering. 

Skytjenester

Skytjenester (cloud computing) er en samlebetegnelse på alt fra dataprosessering og datalagring til programvare på servere som er tilgjengelig fra eksterne serverparker tilknyttet internett. Serverparker kjennetegnes ved at de er laget for dynamisk skalering. Det betyr at datakraft kan tilpasses kapasitetsbehov, og kunden betaler for det den faktisk bruker. Mange eksterne serverparker står utenfor Norges grenser. En stor utfordring for virksomhetene som bruker slike tjenester er å sørge for at avtalen med skytjeneste-leverandøren er i samsvar med norsk lovgivning. (Kilde: Datatilsynet)

Sletting 

Prinsippet om lagringsbegrensning innebærer at personopplysninger skal slettes eller anonymiseres når de ikke lenger er nødvendige for formålet de ble innhentet for. 

SLV

Statens legemiddelverk

Studentoppgaver

Oppgaver som utføres i forbindelse med bachelorgrad/hovedfag/mastergrad ved høyskole eller universitet. Doktorgradsstudier defineres som ordinære forskningsprosjekt.

Taushetsplikt

Plikt til å hindre andre å få adgang eller kjennskap til visse opplysninger. Taushetsplikt kan følge av lov, instruks eller avtale. 

Tilgjengelighet

se også Informasjonssikkerhet

Utlevering av helse- og personopplysninger og biologisk materiale til ekstern virksomhet

Prosjektleder kan utlevere personopplysninger, herunder helseopplysninger, dersom den eksterne virksomhet har selvstendig behandlingsgrunnlag. Det vil enten være til samarbeidende forskere hvis den enkelte har samtykket til å delta i prosjektet og til at data kan deles med samarbeidende forskere, og at utleveringen er omfattet av REKs godkjenning (helseforskning). Det forutsettes at det foreligger en samarbeidsavtale mellom partene og at ansvaret for behandling av personopplysninger er avklart i henhold til personvernforordningen artikkel 26. Alternativt at den mottakende parten har eget behandlingsgrunnlag f.eks. vedtak om dispensasjon fra REK.

Dersom en ekstern virksomhet skal bearbeide eller drifte data på vegne av prosjektet, er behandlingsgrunnlaget avledet fra den behandlingsansvarliges behandlingsgrunnlag, og det skal inngås en Databehandleravtale. Den eksterne kan ikke behandle data på annen måte enn det som er avtalt.