Hjem
Personvernportalen

Personvern i forskning ved UiB

Internkontrollsystem for behandling av personopplysninger i forskning ved UiB  

Internkontrollsystemet består av: 

Styrende del: Overordnede rammer og mål, styringssystem for informasjonssikkerhet og personvern (SIP) og IKT-reglement, overordnet retningslinje for behandling av personopplysinger

Gjennomførende del: UiBs rutiner (kvalitetssystem) for planlegging, gjennomføring, avslutning og kontroll med forskningsprosjekter utgjør den gjennomførende delen av internkontrollsystemet for forskning

Kontrollerende del: rutiner for oppfølgning og kontroll

Avklaring av rettslig grunnlag

All behandling av personopplysninger må ha rettslig grunnlag i EUs personvernforordning (GDPR). 

Gjennomføring av rådføringsplikten med personvernombud i forskningsprosjekter

Forskningsprosjekter som behandler særlige kategorier personopplysninger har rådføringsplikt med personvernombud.  Norsk senter for forskningsdata (NSD) kan bistå UiBs forskere med personverntjenester i forskning etter avtale, og forskere kan henvende seg til NSD for vurdering. 

Unntak fra rådføringsplikten

  • hvis det allerede er gjennomført en personvernkonsekvensvurdering (DPIA) for prosjektet jfr. personopplysningsloven § 9, 2. ledd
  • hvis det er gjennomført en personvernkonsekvensvurdering som omfatter flere lignende behandlingsaktiviteter som innebærer tilsvarende risiko, og prosjektet vurderes å være en slik lignende behandling, jf. GDPR artikkel 35 (1). Det må dokumenteres i RETTE hvilken DPIA prosjektet er tilknyttet.
  • medisinsk og helsefaglig forskning som har godkjenning fra REK, jf. helseforskningsloven § 33, 3. ledd

Når NSD er kontaktet for vurdering, skal forsker/student avvente tilbakemelding fra NSD før behandlingen kan starte. Det er prosjektleder som har ansvar for å dokumentere at det er søkt råd hos personvernombud/rådgiver.

Dersom student eller forsker skal samle inn data i utlandet, gjelder rådføringsplikten tilsvarende som ved datainnsamling i Norge. 

Prosjektleder, eller veileder ved studentprosjekt, er ansvarlig for at rådføringsplikten oppfylles. Prosjektet skal meldes inn til NSD senest 30 dager før datainnsamlingen skal starte. NSD tilbyr også arkivering av prosjektdata ved prosjektslutt.

Gjennomføring av personvernkonsekvensvurderinger (DPIA) i forskning ved UiB

Ved planlegging av enhver behandling av personopplysninger for forskningsformål bør det vurderes om det er krav om å gjennomføre en personvernkonsekvensvurdering, i samsvar med kravene i GDPR artikkel 35. En personvernkonsekvensvurdering skal gjennomføres når det er sannsynlig at behandlingen vil medføre høy risiko for de registrertes rettigheter og friheter, særlig ved bruk av ny teknologi, og i det det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i. En vurdering kan omfatte flere lignende behandlingsaktiviteter som innebærer tilsvarende høye risikoer.

Datatilsynet har myndighet til å bestemme at enkelte behandlingsaktiviteter skal være omfattet av kravet til DPIA, og har bestemt at det er krav om å gjennomføre en personvernkonsekvensvurdering:

  • ikke-samtykkebasert behandling av særlige kategorier personopplysninger for forskningsformål.

Personvernkonsekvensvurdering kan være nødvendig for enkeltprosjekter og for behandlinger som har generelle forskningsformål, for eksempel opprettelse av helseregister for befolkningsbaserte studier.

Hvis forskningsprosjektet er omfattet av kravet til DPIA, skal det avklares med institusjonens personvernombud om det skal gjennomføres en personvernkonsekvensvurdering. Personvernombudet skal involveres, og kan blant annet bistå med å vurdere om personvernhensyn er tilstrekkelig ivaretatt. For det tilfelle at NSD bistår ved personvernkonsekvensvurderingen, kan NSD bistå med å vurdere om personvernhensyn er tilstrekkelig ivaretatt. Det er alltid behandlingsansvarlige som har ansvaret for å gjennomføre personvernkonsekvensvurderingen.

Ved fortsatt høy risiko skal Datatilsynet kontaktes for forhåndsvurdering. Før forhåndsvurdering påbegynnes skal behandlingsansvarlige først vurdere om ytterligere tiltak kan iverksettes for å redusere personvernrisikoen for de registrerte.

Unntak fra kravet om å gjennomføre personvernkonsekvensvurdering (DPIA)

  • hvis det er gjennomført en personvernkonsekvensvurdering som omfatter flere lignende behandlingsaktiviteter som innebærer tilsvarende risiko, og prosjektet vurderes å være en slik lignende behandling, jf. GDPR artikkel 35 (1). Det må dokumenteres i RETTE hvilken DPIA prosjektet er tilknyttet
  • dersom en behandling som gjennomføre i henhold til artikkel 6 nr. 1 c) eller e) har et rettslig grunnlag i nasjonale bestemmelser, og det allerede er utført en vurdering av personvernkonsekvenser som del av en generell konsekvensvurdering i forbindelse med vedtakelse av nevnte rettslig grunnlag. Krever nærmere vurdering, men kan være aktuelt for forskning på opplysninger fra helseregistre der det er gjennomført en personvernkonsekvensvurdering som vilkår for å kunne etablere registeret. 

Både beslutningen om å gjennomføre en personvernkonsekvensvurdering, og å ikke gjennomføre en personvernkonsekvensvurdering, må begrunnes og dokumenteres. Personvernombudet skal involveres i vurderingen. 

Se veiledning for DPIA i forskning ved UiB her 

Se UiBs mal for DPIA her

Oversikt og dokumentasjon av forsknings- og studentprosjekter ved UiB

Personvernforordningen artikkel 30 pålegger virksomheten å ha oversikt over alle behandlinger av personopplysninger (protokoll). Alle forsknings-, doktorgrads- og studentprosjekter, samt kvalitetssikringsprosjekter som gjennomføres av studenter eller forskere, skal derfor føres inn i UiBs prosjektoversikt RETTE (Risiko og ETTErlevelse i forskningsprosjekter). Prosjektoversikten vil danne grunnlag for tilsyn og kontroll med forskningsprosjekter. Les mer om kravet om registrering i RETTE her og fremgangsmåte her.

Oversikten omfatter også kvalitetssikringsprosjekter som utføres med vitenskapelig metode som del av bachelor, master eller forskerutdanning.

Gjennomførte DPIA for forskningsformål, herunder sammenkobling av flere datasett for brede forskningsformål (behandlinger som tidligere var konsesjonspliktige), registreres i egen database koblet til prosjektoversikten.

Datahåndteringsplan (Data Management Plan, DMP) 

Alle forskningsprosjekter skal ha en datahåndteringsplan. Prosjektleder har ansvar for at det blir satt opp en datahåndteringsplan for prosjektet.   Datahåndteringsplanen skal beskrive hvordan forskningsdata skal samles inn, lagres og deles slik at dataene blir håndtert sikkert og forsvarlig.

Planen skal være et aktivt dokument som oppdateres underveis i prosjektet og som dokumenterer hvordan forskningsdata blir behandlet og organisert gjennom hele prosjektet. En datahåndteringsplan skal også inkludere vurderinger knyttet til etikk og personvern. Planen skal tilfredsstille krav fra finansieringskildene og være i tråd med UiBs retningslinje for behandling av personopplysninger.  

Lagring av aktive forskningsdata

Personopplysninger skal ikke lagres lenger enn det som er nødvendig for formålet de ble innhentet for, hvis ikke annet er bestemt i lov eller f.eks. i forbindelse med finansiering av forskning.

Prosjektleder er ansvarlig for de data som prosjektet samler inn og bruker og skal ha tilgang til alle forskningsdata som prosjektet omfatter. Prosjektleder tildeler tilgangsrettigheter og holder oversikt over hvem som har tilgang til dataene. Prosjektleder er også ansvarlig for håndteringen av aktive forskningsdata og for sletting/lagring av data på en betryggende måte ved prosjektets avslutning. 

Prosjektleder skal sørge for at det iverksettes tiltak angående forskningsdataene som står i forhold til faktisk risiko basert på en risikovurdering.  Sentrale forhold i risikovurderingen er prosjektets omfang, opplysningenes følsomhet, trusselbildet knyttet til miljøet opplysningene bearbeides og lagres i, og prosjektets varighet. Alle vurderinger og tiltak skal være dokumentert.

For å minimere risikoen ved behandling av personopplysninger skal prosjektleder vurdere om personopplysningene kan pseudonymiseres, dvs. behandles på en slik måte at personopplysningene ikke lenger kan knyttes til en bestemt registrert uten bruk av tilleggsopplysninger. Opplysningene vil fortsatt regnes som personopplysninger etter loven. 

Ved anonymisering skal det være umulig å knytte opplysninger til enkeltpersoner. Først når man er sikker på at opplysningene ikke kan knyttes til en gruppe på under 5 personer, anses opplysningene som anonymiserte. Anonymiserte opplysninger er ikke personopplysninger og reguleres ikke av personvernlovgivningen.

Prosjektmedarbeideres tilgang til forskningsdata

Forskningsdataene skal bare være tilgjengelig for godkjente prosjektmedarbeidere fram til prosjektavslutning. Prosjektleder bestemmer hvilke prosjektmedarbeidere som skal ha tilgang til pseudonymiserte personopplysninger og koblingsnøkkel. Prosjektleder skal ha dokumenterbar oversikt over hvem som har tilgang til data. Oversikten skal være tilgjengelig for forskningsansvarlig. 

Prosjektmedarbeidere skal normalt ikke ha tilgang til koblingsnøkkel. I de tilfeller de har tilgang til koblingsnøkkelen, er ikke lenger dataene å anse som pseudonymiserte, men som direkte personidentifiserbare, noe som skjerper kravene til forsvarlig behandling og oppbevaring.  

Avslutning av forskningsprosjekter

Ved prosjektslutt skal prosjektleder sørge for at personopplysningene blir anonymisert eller slettet hvis det ikke er krav om lagring etter godkjenninger som er gitt eller i forbindelse med finansiering av forskningsprosjektet. Prosjektleder skal sørge for at det blir sendt nødvendige bekreftelser til REK og NSD. Veileder i studentprosjekter skal sørge for dette i studentprosjekter.

Kontroll og etterlevelse - forskningsprosjekter

Forskningsansvarlig skal gjennomføre systematiske tiltak for å påse at prosjektet gjennomføres i tråd med retningslinjene og at behandling av personopplysninger er i samsvar med lover, forskrifter og UiBs egne retningslinjer.

Hvis forskningsansvarlig oppdager avvik, skal UiBs retningslinje for avviksmelding og avvikshåndtering innen informasjonssikkerhet og personvern følges. Et utvalg av forskningsprosjektene samlet sett skal kontrolleres årlig. Utvalget skal hentes fra forskjellige faser i gjennomføringen: oppstart, gjennomføring og avslutning. 

Forskningsprosjekter som er tildelt forskningsmidler og andre kjente prosjekter skal kontrolleres i forhold til institusjonens prosjektoversikt. Dette for å kontrollere om rådføringsplikten, personvernkonsekvensvurderinger og nødvendige etiske godkjenninger er overholdt. 

Forskningsansvarlig kontrollerer om forskningsprosjektet har innhentet eventuelle nødvendige godkjenninger / tillatelser og om rådføringsplikten med personvernrådgiver og personvernombud er overholdt. Kontrollen skal avdekke om prosjektet gjennomføres i samsvar med de opplysninger som er gitt til REK / personvernrådgiver og de godkjenninger / råd som er gitt.

Forskningsansvarlig skal kontrollere om rutinene knyttet til avslutning er fulgt og at forskningsdata som er oppbevart elektronisk eller i andre arkiv er slettet eller anonymisert.

I styringsdialogen med sin leder skal forskningsansvarlig rapportere om i hvilken grad lover, retningslinjer og rutiner etterleves og hvilke tiltak som er gjort.