Hjem
Personvernportalen

Krav om registrering av prosjektet ditt i RETTE

Hva er RETTE?

RETTE står for Risiko og ETTErlevelse i forskningsprosjekter, og er UiBs system for oversikt og kontroll med behandling av personopplysninger i forsknings- og studentprosjekter. Systemet skal også ha oversikt og kontroll med oppgaver og prosjekter knyttet til kvalitetssikring av pasientbehandling og undervisning, og prosjekter knyttet til læringsanalyseformål.  

Krav til registrering i RETTE

All behandling av personopplysninger ved UiB skal registreres i UiBs forskningsprosjektoversikt RETTE, i samsvar med kravet i personvernforordningen artikkel 30 (krav om protokoll). 

Dette gjelder all behandling av personopplysninger i forskningsprosjekter, studentoppgaver på alle nivå (metodeoppgaver, bacheloroppgaver, masteroppgaver, kvalitetssikringsprosjekter og prosjekter i forbindelse med læringsanalyseformål. Kravet gjelder også når behandlingsansvaret deles med andre behandlingsansvarlige (samarbeidsprosjekter).  

RETTE vil gi en løpende oversikt og kontroll med behandling av personopplysninger i prosjektet.  

Hvem har plikt til å registrere prosjekter i RETTE?

Alle som behandler personopplysninger for formål knyttet til forskning, utdanning, undervisning og kvalitetssikring, enten du er forsker under forskerutdanning, student eller ansatt. Plikten til å ha oversikt og kontroll med alle behandlingsaktiviteter av personopplysninger følger av GDPR artikkel 30.  

Hvilke prosjekter har rådføringsplikt?

Forskningsprosjekter som behandler særlige kategorier personopplysninger har som hovedregel rådføringsplikt med personvernombud (personopplysningsloven § 9 og § 10). Rådføringsplikten gjelder både ved samtykkebasert forskning og ikke-samtykkebaserte forskningsprosjekter. NSD utfører personverntjenester i forskning for UiB, og når prosjektet har vært gjennom en veiledning og er registrert i NSDs meldingsarkiv, blir prosjektet hentet tilbake i RETTE. 

Ikke-samtykkebaserte prosjekter må avklares med UiBs personvernombud for å vurdere om prosjektet trenger en personvernkonsekvensvurdering (DPIA). En DPIA er pålagt for forskningsprosjekter som behandler særlige kategorier personopplysninger uten samtykke, med mindre det allerede er utført en DPIA tidligere for samme formål eller i forbindelse med etablering av lovhjemmel, for eksempel opprettelse av helseregister.  

Hvilke prosjekter kan unntas fra rådføringsplikt?

Noen prosjekter vil kunne registreres direkte i RETTE uten forutgående rådføring med personvernombud eller NSD, under visse forutsetninger. Dette vil blant annet være forskningsprosjekter som behandler alminnelige personopplysninger som ikke involverer sårbare grupper (barn har spesielt krav til personvern) og følgende prosjekttyper som ikke defineres som forskning: prosjekter/studentoppgaver som gjennomføres som del av metodeundervisning, kvalitetssikringsprosjekter. Forutsetning er at studenter har gjennomgått undervisning om forskningsetikk og personvern som del av metodeundervisningen, og at behandlingen skjer under ansvar av veileder/kursansvarlig.  

Helseforskningsprosjekter som har etisk forhåndsgodkjenning fra REK er unntatt fra rådføringsplikt med personvernombud (helseforskningsloven § 33 tredje ledd). Behandling av personopplysninger i helseforskningsprosjekter reguleres av personvernforordningen og behandlingen av personopplysninger må ha rettslig grunnlag i GDPR artikkel 6 og artikkel 9. Dette får du hjelp til i RETTE, samt dokumentasjon av andre krav, som ivaretakelse av informasjonssikkerhet. I tillegg er det et generelt krav å vurdere risikoen for personvernet og søke råd hos institusjonens personvernombud om prosjektet trenger en personvernkonsekvensvurdering (DPIA). Les mer om kravet til DPIA her.  

Hvilke tillatelser trenger jeg for å behandle personopplysninger?  

Meldeplikten og konsesjonsplikten etter tidligere regelverk er nå opphevet med GDPR. I stedet er det rådføringsplikt for behandling av særlige kategorier personopplysninger (tidligere kalt ‘sensitive’ personopplysninger) i forskning. NSD utfører personverntjenester i forskning for UiB, og oppfyllelse av rådføringsplikten kan skje ved innmelding av prosjektet til NSD. Rådførte prosjekter vil blir hentet tilbake i RETTE når NSD har gjennomgått behandlingen.  

Hva med helseforskningsprosjekter? 

Medisinsk og helsefaglig forskning som omfattes av helseforskningsloven trenger etisk forhåndsgodkjenning fra REK. Behandler du helseopplysninger uten samtykke trenger du vedtak om unntak fra taushetsplikten fra REK. Behandler du andre taushetsbelagte opplysninger uten samtykke trenger du vedtak om unntak fra taushetsplikt fra for eksempel Rådet fra taushetsplikt eller behandlingsansvarlig institusjon. 

Vurdering av personvernkonsekvenser (DPIA)  

LES MER OM KRAVET

Hvordan kan jeg være sikker på at systemet registrerer prosjektet mitt riktig?  

Korrekt registrering i RETTE er avhengig av at du oppgir riktig informasjon om hvilke personopplysninger du skal behandle, og formålet med behandlingen. Det er derfor viktig at du setter deg godt inn i definisjoner og begreper