Jeg er forsker

Hvilke typer forskning omfattes av retningslinjene i denne veiledningen?

Kravene beskrevet her gjelder for all intern- og eksternfinansiert forskning ved UiO hvor personopplysninger behandles, enten i form av kvantitative eller kvalitative data.

Personopplysninger som behandles i medisinsk og helsefaglig forskning skal følge disse retningslinjene i tillegg til Kvalitetssystemet for medisinsk og helsefaglig forskning

Hvilket ansvar for personvernet har dekaner og instituttledere når personopplysninger behandles i forskningsprosjekter?

Dekaner og instituttledere har personvernansvar for alle behandlinger av personopplysninger knyttet til forskningsprosjekter som gjennomføres ved sine enheter.

Dette ansvaret omfatter følgende oppgaver:

• sørge for etablering av rutiner og retningslinjer for behandling av personopplysninger i forskningsprosjekter (dersom slike ikke allerede finnes)
• sørge for tilstrekkelige ressurser til opplæring av prosjektledere og prosjektmedarbeidere i de rutiner og retningslinjer som gjelder for behandling av personopplysninger i forskningsprosjekter
• kontrollere at vedtatte rutiner og retningslinjer som gjelder for behandling av personopplysninger i forskningsprosjekter følges opp av prosjektledere og prosjektmedarbeidere
• bistå ved årlig internkontroll (revisjon) og stedlige kontroller gjennomført av Universitetsdirektøren ved ansatte i IT-direktørens stab, se veiledning for gjennomføring av årlig internkontroll.

Hvilket ansvar har prosjektledere for personvernet til forskningsdeltakere (informanter eller respondenter)?

Prosjektledere har ansvaret for personvernet til deltakerne når det behandles personopplysninger om dem.

Prosjektledernes ansvar omfatter alle faser i et forskningsprosjekt:

1. Ved planlegging/oppstart

Planleggings- eller oppstartfasen er den delen av forskningsprosjektet som strekker seg fra utarbeidelse av prosjektskisse/søknad frem til at datainnsamlingsprosessen begynner.

I denne fasen har prosjektleder ansvaret for følgende oppgaver:

• bestemme og ha oversikt over hvilke typer personopplysninger som skal behandles i forskningsprosjektet
• utforme samtykkeskjema som skal presenteres for og (eventuelt) undertegnes av respondenter eller informanter
• utforme informasjon til respondenter eller informanter om deres personvernrettigheter
• melde inn forskningsprosjektet til Norsk senter for forskningsdata SIKT. SIKT tilbyr UiO en personverntjeneste, og gjennomgår prosjekter på UiOs vegne. Se meldeskjema her.
• inngå databehandleravtaler med eventuell eksterne informasjonsleverandører, for eksempel registereiere, eller samarbeidspartnere ved andre institusjoner om hvordan ansvaret for personopplysninger skal fordeles og ivaretas. Se UiOs mal for databehandleravtale. 
• sørge for at sikre tekniske løsninger for innsamling, lagring, overføring og analyse av forskningsdata (personopplysninger) som tilbys ved UiO tas i bruk i prosjektet.
• sørge for risikovurdering av informasjonssikkerheten til forskningsdata (personopplysninger) som ikke behandles ved bruk av UiOs tekniske løsninger for sikker innsamling, lagring, overføring og analyse av slike data.
• sørge for at prosjektmedarbeidere har tilfredsstillende kompetanse i sikker håndtering av forskningsdata (personopplysninger)

2. Ved gjennomføring

Gjennomføringsfasen er den delen av forskningsprosjektet som omfatter datainnsamling og analyser av innsamlede data (personopplysninger).

I denne fasen har prosjektleder ansvaret for følgende oppgaver:

• sørge for tilfredsstillende sikring av koblingsnøkler ved behandling av avidentifiserte personopplysninger
• besvare henvendelser fra respondenter eller informanter i prosjektet om hvordan de kan ivareta sine personvernrettigheter
• sørge for forsvarlig sletting eller anonymisering av forskningsdata (personopplysninger) dersom respondenter eller informanter trekker tilbake sitt samtykke til å delta i prosjektet
• kontrollere at personopplysninger som behandles i prosjektet ikke anvendes til andre og uforenlige formål eller på andre måter enn det respondentene eller informantene har samtykket til
• be respondenter eller informanter om nytt samtykke dersom innsamlede opplysninger skal behandles til andre formål eller på andre måter, for eksempel lagres lengre eller brukes i et nytt prosjekt, enn hva de opprinnelig har gitt samtykke til
• kontrollere at vilkår i avtaler med eventuell eksterne informasjonsleverandører, for eksempel registereiere, eller samarbeidspartnere ved andre institusjoner faktisk overholdes
• melde inn avvik som oppstår ved behandling av opplysninger om respondenter eller informanter i prosjektet. Se rutine for melding av avvik her.
• bistå ved årlig internkontroll (revisjon) og stedlige kontroller gjennomført av behandlingsansvarlig ved ansatte i IT-direktørens stab. Se veiledning for gjennomføring av årlig internkontroll.

3. Ved avslutning

Avslutningsfasen omfatter den delen av forskningsprosjektet hvor dataanalysen er avsluttet og innsamlede data (personopplysninger) skal slettes, anonymiseres eller overføres til andre for videre oppbevaring.

I denne fasen har prosjektleder ansvaret for følgende oppgaver:

• avgjøre hvilke personopplysninger om respondenter eller informanter som skal slettes og hvilke som skal oppbevares etter prosjektslutt (arkiveres)
• sørge for at alle personopplysninger om respondenter eller informanter som ikke skal oppbevares etter prosjektslutt blir forsvarlig slettet
• sørge for at personopplysninger som skal oppbevares etter prosjektslutt blir anonymisert, for eksempel ved at koblingsnøkkel for avidentifiserte opplysninger destrueres
• sørge for at personopplysninger som skal tas vare på etter prosjektslutt blir forsvarlig oppbevart

Ta kontakt hvis du har spørsmål.