Ansvar
Hvert forskningsprosjekt som behandler personopplysninger skal ha en forsker som er ansvarlig for at prosjektet oppfyller kravene i personvernregelverket.
Prosjektledere har et selvstendig ansvar for personvernet i forskningsprosjekter Ph.d.-studenter regnes som prosjektledere for sine ph.d.-prosjekter som ikke er medisinsk og helsefaglig forskning. For ph.d-prosjekter innen medisinsk og helsefaglig forskning følger ansvaret av Rutine 2 i Kvalitetssystemet for medisinsk og helsefaglig forskning.
Studentveiledere har ansvar for personvernet i studentforskning på bachelor- og masternivå. Studenter har likevel også et selvstendig ansvar for at personvernet er ivaretatt.
Se også: Delegering av oppgaver knyttet til forskning med personopplysninger ved Universitetet i Oslo (PDF)
Forskningsetisk vurdering
Ved planlegging av et forskningsprosjekt som behandler personopplysninger, må du vurdere om prosjektet er i tråd med de forskningsetiske retningslinjene. Hvis dette ikke er tilfellet, må det gjøres justeringer slik at prosjeketet er i tråd med disse retningslinjene.
Videre må du i planleggingen av forskningsprosjektet, kartlegge hvilke godkjennelser som er nødvendige for ditt prosjekt, og vurdere hva som skal være prosjektets behandlingsgrunnlag.
Behandling av personopplysninger i student- eller forskningsprosjekter
Sikt leverer personverntjenester for UiO. Student- og forskningsprosjekter som behandler personopplysninger skal meldes til Sikt.
Dette gjelder også prosjekter innenfor medisinsk og helsefaglig forskning fra 01.01.2020. For utfyllende regler om medisinsk og helsefaglig forskning se Kvalitetssystemet for medisinsk og helsefaglig forskning og informasjon om overgangsregler.
Prosjektet skal meldes til Sikt senest 30 dager før datainnsamlingen skal starte.
Hvis det foretas endringer i prosjektopplegget i forhold til de opplysningene som ligger til grunn for Sikts vurderinger, skal det sendes inn en endringsmelding.
Medisinsk og helsefaglige forskningsprosjekter kan søke Sikt parallelt med søknad om etisk forhåndsgodkjennelse hos regionale etiske komiteer (REK).
Anonyme opplysninger
Hvis du behandler fullt ut anonyme opplysninger i ditt prosjekt, trenger du ikke å melde prosjektet til Sikt. Anonyme opplysninger er informasjon som ikke på noe vis kan identifisere enkeltpersoner – verken direkte gjennom navn eller fødselsnummer, indirekte gjennom bakgrunnsvariabler, eller gjennom navneliste/koblingsnøkkel, krypteringsformel og kode.
Hvis du er i tvil om forskningsprosjektet behandler personopplysninger, kan du ta kontakt med Sikt.
Hvordan melde et forskningsprosjekt?
Sikt har utarbeidet et skjema som skal benyttes ved melding av forsknings- og studentprosjekter. Det er viktig at alle prosjekter som behandler personopplysninger meldes inn, og at du oppgir så mange detaljer som mulig om ditt prosjekt.
Meldeskjemaet finner du på Sikts hjemmeside.. Her finner du også nyttig veiledning og svar på ofte stilte spørsmål. Sikt har også en chat-funksjon du kan bruke hvis du har spørsmål mens du fyller ut skjemaet.
Meldeskjemaet skal fylles ut av den som skal gjennomføre prosjektet.
I medisinsk og helsefaglige forskningsprosjekter skal prosjektleder, i henhold til rutine 2 "Prosjektlederes ansvar" i Kvalitetssystemet for medisinsk og helsefaglig forskning, fylle ut meldeskjemaet.
Hva skal legges ved meldeskjemaet?
Kopi av spørreskjema, intervjuguide, registreringsskjema, informasjonsskriv, samtykkeerklæring, søknad/tilråding fra Regional komité for medisinsk og helsefaglig forskningsetikk (hvis aktuelt), vedtak om dispensasjon fra taushetsplikten, etc. skal legges ved meldeskjemaet. Dersom meldeskjemaet sendes inn før andre vedtak foreligger, skal kopi av vedtak ettersendes.
Dersom du velger "lagring på privat enhet" ved utfylling av Sikts meldeskjema, blir du bedt om å laste opp retningslinjer for lagring på privat enhet, eller godkjennelse fra UiO. Retningslinjer for lagring vil du kunne finne i UiOs lagringsguide. Hvor du kan lagre ulike typer data, kommer an på hvilken type opplysninger du skal forske med. De ulike kategorier av data (grønn, gul, rød, svart) kan du lese om i UiOs dataklassifisering. Kun grønne data kan lagres fritt på privat enhet. Gule data kan lagres på privat enhet under visse forutsetninger som du kan lese om her. Du er selv ansvarlig for å følge lagringsrutinene.
Saksbehandling
Når du melder ditt prosjekt til Sikt, vil de foreta en vurdering av prosjektets personvernkonsekvenser. Dersom prosjektet ikke ansees som personvernmessig risikofylt, vil Sikt gi deg tilbakemelding på at du kan starte prosjektet og datainnsamlingen. Dersom prosjektet antas å ville innebære høy risiko for de registrertes personvern, vil Sikt foreta en inngående personvernkonsekvensvurdering der risikoer og tiltak for å minske risikoene blir kartlagt. Dette kalles også en DPIA. Sikts endelige vurdering blir så oversendt til utøver av behandleransvaret, som vil vurdere og godkjenne Sikts vurdering overordnet. Deretter sendes UiOs godkjennelse tilbake til Sikt, som så kontakter deg med resultatet. All kommunikasjon i forbindelse med prosjektet vil foregå mellom deg og Sikt.
Når et student- eller forskningsprosjekt godkjennes av Sikt, vil det registreres i Sikts prosjektarkiv. Prosjektarkivet oppdateres fortløpende, og inneholder all informasjon om ditt prosjekt.
Deling av personopplysninger
Dersom du skal dele personopplysninger med andre personer, institusjoner, organisasjoner eller virksomheter utenfor UiO, må du avklare om du har lov til å dele personopplysningene.
Hvis det er andre som skal behandle personopplysningene på dine vegne er det nødvendig med en databehandleravtale. Du kan lese mer om databehandleravtaler her
Sørg for sikker lagring
Personopplysninger skal behandles på en måte som gir tilstrekkelig sikkerhet for personopplysningene, og vern mot uautorisert tilgang og skade. Ved UiO er det gitt anbefalinger for lagring av data ut fra klassifisering som ivaretar disse hensynene.
Les mer om UiOs lagringsguide for data og informasjon.
Tilgangen til informasjon skal begrenses slik at kun personer som er deltakere i forskningsprosjektet har tilgang til personopplysningene. For å begrense tilgang til personsensitiv informasjon ytterligere, kan pseudonymisering benyttes. Det vil si at man fjerner direkte identifiserende opplysninger slik at personopplysningene ikke lenger kan knyttes til en bestemt person uten bruk av tilleggsopplysninger.
Arkivering av prosjektdata
Dataene skal ikke lagres lenger enn det som er nødvendig for å nå formålene som personopplysningene behandles for. Når forskningsprosjektet er avsluttet, skal dataene enten bli slettet eller anonymisert. I noen tilfeller kan dataene være arkivverdige og kan da overføres til et arkiv for videre lagring. Sikt kan gi anbefaling om håndtering av data ved prosjektslutt.
Sikt vil ved prosjektavslutning ta kontakt med prosjektleder med tilbud om arkivering av prosjektdata.
Avvik
Dersom du oppdager et avvik fra disse rutinene eller personvernregelverket i forbindelse med behandling av personopplysninger i forskningsprosjektet skal dette meldes til UiO-CERT. Les mer om avvik og hvordan melde et avvik her.
Forskpro
Forskpro (tidligere Helseforsk) er et system for å holde oversikt over medisinske og helsefaglige forskningsprosjekter ved UiO. Systemet har som formål å bidra til etterlevelse av helseforskningslovens krav om løpende oversikt og oppfølging. Alle medisinske og helsefaglige forskningsprosjekter skal registreres i Forskpro. Enkelte institutter ved UiO stiller også krav om at all forskning ved instituttet skal registreres i Forskpro. Dette gjelder uavhengig av om det er medisinsk og helsefaglig forskning. Forhør deg derfor med din forskningsrådgiver om hva som er rutinen for ditt institutt.
Overgangsregler for ny rutine for medisinsk og helsefaglig forskning
- Pågående medisinske og helsefaglige prosjekter som tidligere har fått en vurdering/godkjenning av personvernet, trenger i utgangspunktet ikke å søke Sikt.
- Pågående medisinske og helsefaglige prosjekter som får prosjektendringer godkjent fra REK etter 01.01.2020, må i tillegg søke Sikt dersom endringene i prosjektet medfører endrede konsekvenser for personvernet til forskningsdeltakerne. Dersom du er i tvil om endringene vil få konsekvenser for personvernet, kan du ta kontakt med behandlingsansvarlig@uio.no.
- Medisinske og helsefaglige forskningsprosjekter som har søkt REK før 20.12.2019 kan fremdeles få en intern godkjenning av personvernet dersom utøver av behandleransvaret får beskjed om dette på behandlingsansvarlig@uio.no.
Spørsmål?
Kontaktopplysninger til Sikt personverntjenester finner du på deres nettsider. Ved UiO kan spørsmål rettes til behandlingsansvarlig@uio.no.
Ved det Utdanningsvitenskapelige fakultet (UV): Du kan få juridisk vurdering av personvern ved ordinære forskningsprosjekter og studentprosjekter.