Retningslinjer for personvern i forsknings- og studentarbeider

Retningslinjene som beskrives her gjelder forskningsprosjekter og studentarbeider ved MF hvor det behandles personopplysninger. Typiske eksempler på dette er prosjektdesign som innebærer intervjuer, spørreskjemaer eller liknende. Behandling av personopplysninger er rettslig regulert, og du må ha et behandlingsgrunnlag  å vise til. Retningslinjene gir en oversikt over hva dette innebærer:

Kontaktpersoner ved MF:
IT-leder 
Lars Moe 
Lars.Moe@mf.no 

Personvernkontakt/seniorrådgiver
Berit Widerøe Hillestad
E-post: personvern@mf.no

Seniorrådgiver forskerstøtte 
Unn Målfrid H. Rolandsen
Unn.M.H.Rolandsen@mf.no 

Relevante lover
Personopplysningsloven
Personvernforordningen (GDPR)
Forvaltningsloven
Forskningsetikkloven
Helseforskningsloven
Helsepersonell-loven

Personvern og personopplysninger

Personvern handler om retten til et privatliv og retten til å bestemme over egne personopplysninger. Disse rettighetene er nedfelt i personvernregelverket, som også pålegger den som behandler personopplysninger, en rekke plikter. Retningslinjene nedenfor er utarbeidet i tråd med personopplysningsloven og EUs personvernforordning (GDPR). 

Personvernet har sin basis i menneskeverdet og respekt for personlig integritet. Hensynet til personer utgjør dermed også en vesentlig del av forskningsetikken. Derfor vil ikke personvernregelverket alene gi svar på de utfordringene vi møter når vi skal håndtere personopplysninger i forskningen. Det blir også nødvendig å gjøre forskningsetiske vurderinger. De følgende retningslinjer bør derfor leses sammen med og i lys av de generelle forskningsetiske retningslinjene for samfunnsvitenskap, humaniora, jus og teologi som du finner på De forskningsetiske komiteenes nettsider.  Der ligger også en samling med spørsmål og utfyllende svar om personopplysninger i forskning. 

Behandling av personopplysninger i forskningsprosjekter

1. Personopplysninger er alle opplysninger og vurderinger som kan knyttes til deg som enkeltperson, jf. personvernforordningen art. 4 nr. 1. Typiske personopplysninger er navn, adresse, telefonnummer, e-post og fødselsnummer, men også bilder og lydopptak regnes som personopplysninger. 

Sensitive opplysninger er underlagt et strengere vern enn personopplysninger generelt. Med sensitive opplysninger menes de særlige kategorier av personopplysninger som framgår av personvernforordningen art. 9, samt behandling av personopplysninger om straffedommer og lovovertredelser, jf. forordningen art.10.

Datatilsynets nettsider  finner du en god beskrivelse av informasjon som regnes som personopplysninger og sensitive personopplysninger. Se også MFs nettside med begreper knyttet til personvern i forskning.

2. Med behandling av personopplysninger menes enhver operasjon som gjøres med personopplysningene, f. eks. innsamling, registrering, sammenstilling, lagring, bruk, utlevering og sletting. Du finner flere eksempler på hva som omfattes, i personvernforordningen art. 4 nr. 2

3. Personvernforordningen angir i art. 5 en rekke prinsipper for behandling av personopplysninger. Personopplysninger skal:

  • behandles på en lovlig, rettferdig og åpen måte
  • samles inn for spesifikke, uttrykkelige og legitime formål
  • være adekvate, relevante og begrenset til det som er nødvendig for formålet
  • korrekte og om nødvendig oppdaterte
  • slettes eller anonymiseres når de ikke lenger er nødvendige for formålet de ble innhentet for, og
  • behandles på en tilstrekkelig sikker måte

4. For å kunne behandle personopplysninger må det foreligge et behandlingsgrunnlag , jf. personvernforordningen art 6.  I de fleste forskningsprosjekter vil behandlingsgrunnlaget være samtykke fra deltakerne. Samtykket skal være:

  • frivillig
  • spesifikt og informert
  • utvetydig
  • gitt gjennom en aktiv handling
  • dokumenterbart

For sensitive opplysninger er det i tillegg krav om at samtykket skal være «uttrykkelig». Den som samtykker, må ha samtykkekompetanse, og for barns samtykke gjelder egne vilkår. Deltakeren i prosjektet har rett til når som helst å trekke sitt samtykke tilbake.

5. Den registrerte (forskningsdeltakeren) har ifølge personvernforordningen visse rettigheter. Disse omfatter rett til: 

  • innsyn i personopplysningene som er registrert om vedkommende
  • å få rettet personopplysninger om seg selv
  • å få slettet personopplysninger om seg selv
  • å få utlevert en kopi av de registrerte personopplysningene om seg selv (dataportabilitet)
  • å klage til MF eller Datatilsynet om behandlingen av personopplysningene

6. Forskningsdeltakeren skal informeres om rettighetene ovenfor. På nettsidene til Norsk senter for forskningsdata (NSD) finner du mer informasjon hva du bør informere forskningsdeltakerne om. Der kan du også laste ned en veiledende mal for informasjonsskriv som også inneholder en samtykkeerklæring. 

Ansvar og rollefordeling

Prorektor og forskerstøtte
Rektor v/prorektor har det overordnede ansvaret for all behandling av personopplysninger i forskning og studentarbeider ved MF. Prorektor har ansvaret for at alle forskere, veiledere og studenter er informert om MFs rutiner for behandling av personopplysninger i forsknings og studentarbeider.
Rådgiver for forskerstøtte er NSDs kontaktperson ved MF. Rådgiveren har ansvar for utarbeidelse av rutiner, og internkontroll for behandlingen av personopplysninger i denne typen prosjekter. 

Forsker/prosjektleder 
Forskere/prosjektledere er også ansvarlige for at relevante lover, retningslinjer og rutiner blir fulgt underveis i forskningsarbeidet. For alle forskningsprosjekter med flere deltagende fagansatte skal det utpekes en prosjektleder. I ph.d.-prosjekter ved MF er ph.d.-studenten normalt selv prosjektleder, og ph.d.-studenten har dermed dette ansvaret. Unntaket gjelder ph.d.-prosjekter som regnes som medisinsk og helsefaglig forskning, der hovedveileder må være prosjektansvarlig (jf. helseforskningsloven  § 4). I studentarbeider er det studentens hovedveileder som er prosjektleder, og dermed ansvarlig for at relevante lover, retningslinjer og rutiner blir fulgt.

Prosjektmedarbeider/student
Prosjektmedarbeidere/studenter plikter å etterleve relevante lover, retningslinjer og rutiner, samt prosjektgjennomføringen slik dette er avtalt med prosjektleder og meldt inn til Norsk senter for forskningsdata AS (NSD) og ev. Regionale komiteer for medisinsk og helsefaglig forskningsetikk (REK). 

Personvernkontakt ved MF
MF er ikke pålagt å ha et personvernombud, men har en personvernkontakt. Personvernkontakten har som oppgave å bidra til at den behandlingsansvarlige (dvs. institusjonen MF) følger regelverket om personvern. Vår personvernkontakt er Berit Widerøe Hillestad. Kontakt henne gjerne via e-post til personvern@mf.no.

Er det personopplysninger i mitt forskningsmateriale?

Begrepet personopplysninger er definert i personvernforordningen artikkel 4  nr. 1.
Dersom ditt datamateriale kommer til å inneholde personopplysninger, skal du foreta en ROS-analyse og melde prosjektet til NSD og ev. REK. Dersom du i forskningen din ikke behandler personopplysninger i lovens forstand, trenger du ikke gjøre dette.

Risiko- og sårbarhetsanalyse (ROS-analyse)

Før behandling av personopplysninger skal du foreta en risikovurdering, det vil si en vurdering av personvernkonsekvenser. Bruk gjerne MFs skjema for risiko- og sårbarhetsanalyse (ROS-analyse). I ROS-analysen oppgir du prosjektets omfang og varighet og hvor følsomme opplysningene du skal behandle er. Du beskriver hva du anser som risikabelt ved din behandling av personopplysninger og hva du har tenkt å gjøre for å redusere risikoen. 
Sentrale begreper i ROS-analysen er:

  • Konfidensialitet: å hindre uvedkommende i å få tilgang til opplysningene
  • Integritet: ingen utilsiktet eller uautorisert endring av opplysninger
  • Tilgjengelighet: opplysningene kan ikke mistes og er tilgjengelige når tilgang er nødvendig (for autoriserte)

Både villede handlinger (hacking, virus etc.) og statiske hendelser (tekniske og menneskelige feil) må tas med i ROS-analysen.

Dersom lov, forskrift eller avtaler tilsier at den som utfører forskningen må begrense tilgangen til dataene, vil det kreves ekstra beskyttelse: Ta kontakt med IT-seksjonen om du har spørsmål om ROS-analyse og datasikkerhet, eller om lagring av forskningsdata.

Ved større mengder sensitive personopplysninger, bl.a. helseopplysninger, eller informasjon som vil kunne forårsake betydelig skade, må forskeren gå igjennom ROS-analysen med IT-seksjonen og prorektor. Dere avgjør sammen hva som er riktig behandling og lagring av informasjonen.

I spesielt inngripende prosjekter vil en utvidet personvernkonsekvensvurdering (DPIA) være nødvendig. Disse vurderingene er mer omfattende enn vanlig, og må utarbeides i samarbeid med MFs ledelse, personvernkontakten og Norsk senter for forskningsdata (NSD).

Melding av prosjekt til NSD og ev. REK

Alle student- og forskningsprosjekter som behandler personopplysninger, skal meldes til Norsk senter for forskningsdata AS (NSD). For definisjon av hva som menes med anonymitet i forskningssammenheng, se begrepsoversikten

Hvis du behandler fullt ut anonyme opplysninger i ditt prosjekt, trenger du ikke å melde prosjektet til NSD, men innhentede opplysninger skal likefullt behandles i tråd med MFs retningslinjer, og rutine for lagring av forskningsdata (Lagringsguiden)

MF har inngått Avtale om personverntjeneste i forskning med NSD. Avtalen regulerer rettigheter og plikter mellom partene: MF er behandlingsansvarlig institusjon for alle forskningsprosjekter, som betyr at vi selv har ansvar for etterlevelse av regelverket. Det forutsettes at prosjektleder/forskere gjør seg kjent med innholdet i avtalen med NSD, som er publisert på MFs intranett (krever innlogging, kun tilgjengelig for ansatte).

Dersom forskningsprosjektet har som formål å fremskaffe ny kunnskap om sykdom og helse skal det søkes om forhåndsgodkjenning fra Regionale komiteer for medisinsk og helsefaglig forskningsetikk (REK), jamfør helseforskningsloven. De færreste prosjekter ved MF har et slikt formål, men det vil kunne forekomme. I enkelte tilfeller må du i tillegg søke om dispensasjon fra taushetsplikten for annen forskning. Dersom du er usikker på om dette gjelder ditt forskningsprosjekt ta kontakt med Hege C. Finholt eller MFs forskerstøtte. 

Datahåndteringsplan

Behandling av forskningsdata skal beskrives i en datahåndteringsplan

Sjekkliste ved oppstart av forskningsprosjekt/studentprosjekt

Prosjektleder skal (ev. i samarbeid med prosjektmedarbeider/student)

  1. gjennomføre en risiko- og sårbarhetsanalyse (ROS-analyse) og en vurdering av personvernkonsekvenser i prosjektet,
  2. vurdere om prosjektet er meldepliktig til NSD og/eller trenger forhåndsgodkjenning fra REK,
  3. lage en datahåndteringsplan for prosjektet (for detaljer, se Rutiner for lagring av forskningsdata ved MF («Lagringsguiden» ). Merk at det er utarbeidet en enkel datahåndteringsplan for master- og bacheloroppgaver som ligger på studentenes eksamenssider.
  4. sørge for at andre prosjektmedarbeidere får nødvendig kompetanse når det gjelder håndtering av forskningsdata.

Den/de som utfører datainnsamlingen, skal

  1. dokumentere formålet med behandlingen av personopplysninger,
  2. utforme en uttømmende liste over de personopplysninger som skal samles inn og analyseres,
  3. melde prosjektet til NSD, ev. også REK,
  4. gi skriftlig informasjon til informantene om deres rettigheter (informasjonsskriv og personvernerklæring),
  5. sørge for å ha rettslig grunnlag for behandlingen, dvs. som oftest samtykke fra informanten, og
  6. gjennomføre en risikovurdering (ROS-analyse) av de eksterne tjenestene som brukes til lagring, overføring og analyse av data og sørge for at nødvendige sikringstiltak settes i verk slik at prosjektet kan gjennomføres med akseptabel risiko. 

Se også:

Prosjektleders ansvar underveis i prosjektet

Prosjektleder skal

  1. påse at personopplysninger lagres på en forsvarlig måte og ikke lenger enn nødvendig, ev. kun i avidentifisert form,
  2. påse at det føres en oversikt over de lagringsmedier som benyttes, og
  3. gjøre en løpende risikovurdering av personvernkonsekvensene ved prosjektet og gjennomføre nye tiltak hvis endringer gjør dette nødvendig.

Prosjektleders ansvar ved avslutning av et forskningsprosjekt

Prosjektleder skal

  1. i samråd med NSD slette lagrede personopplysninger og/eller sørge for at data/materialet er avidentifisert/anonymisert, og
  2. melde fra til NSD når prosjektet er avsluttet.